Nova campanha do malware bancário Guildma foca em empresas para atingir vítimas
A Kaspersky acaba de descobrir uma nova onda de ataques do malware Guildma, desta vez direcionada a funcionários de empresas no Brasil. Explorando
a repercussão em torno do bloqueio da plataforma X (anteriormente Twitter) no
país. Neste ataque, os cibercriminosos enviam e-mails falsos alegando que
colaboradores da empresa estão tentando acessar a rede social banida. Na
mensagem fraudulenta, o golpista induz a vítima – geralmente, um administrador
do sistema – a clicar em um link para supostamente ver uma lista de quais
pessoas estão realizando o “acesso indevido”. No entanto, o destino é a
instalação do perigoso malware. Confira detalhes abaixo.
Como funciona o ataque
O funcionário da empresa, que geralmente possui acesso como administrador do
sistema, recebe um e-mail falso, mas com aparência profissional, informando
sobre acessos suspeitos de colaboradores da companhia na plataforma X. O e-mail
contém o nome e CNPJ da empresa, o que indica o uso de alguma base de dados
para deixar a mensagem ainda mais personalizada. Na mensagem, é enviado um link
para supostamente verificar os acessos e proteger a conta.
 |
Ao
clicar no link, a vítima é direcionada para o download de um arquivo .ZIP,
hospedado em um serviço de nuvem. Dentro do arquivo .ZIP, encontra-se um
arquivo de atalho (LNK) disfarçado de documento. Quando a vítima executa o
arquivo, um script PowerShell é ativado em segundo plano, que terminará na
instalação do malware bancário e o processo de infecção pelo Guildma.
O Guildma é capaz de
roubar credenciais de acesso, dados bancários, senhas e outras informações
confidenciais armazenadas no dispositivo da vítima. Ele foi um dos primeiros
trojans bancários nacionais que expandiram seus ataques para fora do Brasil em 2020, com campanhas anteriores focando principalmente
a Europa. Contudo, a ameaça se mantém ativa e demonstra crescente interesse no
Brasil, agora com iscas relacionadas à plataforma X que foi banida no final de
agosto.
"Os cibercriminosos estão
sempre atentos aos assuntos mais comentados para criar iscas convincentes. Com
a popularidade do assunto relacionado ao X, não é surpresa que estejam
explorando o tema para enganar usuários. A curiosidade e a pressa
em proteger a conta podem levar os administradores a clicarem em links
maliciosos, comprometendo seus dados e dispositivos", comenta Fabio Assolini, diretor da Equipe Global de Pesquisa
e Análise da Kaspersky para a América Latina. "O
Guildma é um malware persistente e que se adapta constantemente a novas iscas e
métodos de infecção. A origem dessa ameaça ser brasileira reforça a importância
de contar com soluções de segurança robustas e manter o sistema operacional e
os softwares sempre atualizados."
Para se manter protegido, a Kaspersky recomenda:
- Desconfie de mensagens alarmantes: Verifique sempre a autenticidade do remetente antes de
clicar em links ou abrir anexos.
- Não clique em links suspeitos: Acesse seus perfis em plataformas online diretamente pelo
navegador ou aplicativo oficial.
- Mantenha o sistema atualizado: Assegure-se de que seu sistema operacional, navegador e
softwares estejam sempre atualizados com os últimos patches de segurança.
- Utilize soluções de segurança robustas: Instale um antivírus confiável
em todos os dispositivos da empresa para proteção em tempo real contra
ameaças online.
Tenha mais informações de
cibersegurança no blog da Kaspersky.
Kaspersky
