Actualización del malware Guildma: características y cómo funciona

El pasado año nos llegaban noticias de que desde principios de 2019 miles de usuarios habían sido víctimas del malware llamado Guildma, del cual hablaremos hoy en este post.

Este malware posee una herramienta de acceso remoto (RAT), spyware, capacidad de robo de contraseñas y actuación a modo de troyano bancario. En un principio su principal objetivo fueron usuarios y servicios localizados en Brasil, pero poco a poco su alcance se fue expandiendo a compañías como Netflix, Facebook, Amazon y Google Mail.

Este malware era distribuido a través de campañas de phishing llevadas a cabo por correo electrónico (pudiendo tratarse de facturas, invitaciones, etc.), tratándose de correos personalizados que se dirigían a las víctimas por su nombre. En estos correos se enlazaba un archivo ZIP que contenía el link malicioso. Cuando el usuario afectado abría este archivo, éste descargaba un archivo XSL malicioso que a su vez descargaba todos los módulos de Guildma y ejecutaba un cargador en su primera etapa, el cual incluía el resto de módulos del malware. Este último entonces se activaba y esperaba las órdenes del servidor de comando y control (C&C) para dar comienzo a las interacciones específicas con el usuario, como podía ser abrir el sitio web de uno de los servicios que había sido blanco del ataque.

En la siguiente imagen podemos observar el alcance e intensidad de las campañas de distribución del malware desde el inicio de su distribución. Se observa claramente la puesta en marcha de una campaña masiva en agosto de 2019, cuando se enviaban hasta 50.000 muestras al día; esta campaña duró casi dos meses.

Fuente de la imagen: ESET – WeLiveSecurity
Como casi todos los malwares con los que nos podemos encontrar actualmente, Guildma ha sido actualizado con potentes novedades en cuanto a su ejecución y técnicas de ataque. Así pues, a continuación explicaremos sus características y funcionamiento.

CARACTERÍSTICAS

Como se ha explicado anteriormente, Guildma es un troyano bancario latinoamericano que tiene como objetivo principal a entidades brasileñas. Además de afectar a instituciones financieras, Guildma también intenta hacerse con credenciales de correos electrónicos, tiendas online y servicios de streaming, y afecta al menos a diez veces más víctimas que cualquier otro troyano latinoamericano de esta familia analizado hasta el momento. Usa métodos innovadores de ejecución así como técnicas de ataques sofisticadas.

A diferencia de otros troyanos latinoamericanos. Guildma no almacena las ventanas emergentes falsas usadas en el binario. En su lugar, el ataque se lleva a cabo a través del servidor C&C. Esto da a los creadores del malware mayor flexibilidad para reaccionar a las contramedidas implementadas por las entidades bancarias víctimas del ataque.

Guildma tiene implementadas las siguientes funcionalidades como puerta trasera:

Hacer capturas de pantalla
Capturar las pulsaciones del teclado
Simular teclado y ratón
Bloquear atajos (por ejemplo, deshabilita la combinación de teclas Alt+F4 para que así sea más difícil cerrar la ventana emergente cuando ésta aparezca en pantalla)
Descargar y ejecutar archivos
Reiniciar el dispositivo
CÓMO FUNCIONA

Guildma funciona por módulos. Cuando los investigadores de ESET escribieron el artículo del que se nutre la información aquí proporcionada, el malware estaba constituido por 10 módulos, sin incluir las etapas de distribución en cadena.

EVOLUCIÓN DE LAS CADENAS DE DISTRIBUCIÓN

Guildma se distribuye a través de mensajes de spam que incluyen archivos maliciosos. A continuación se pueden observar algunos de estos mensajes escritos en portugués:

Una de las características que distingue la forma de distribución de Guildma en cadena es el uso de herramientas que están presentes en el sistema del dispositivo infectado, haciéndolo normalmente de forma novedosa y poco corriente. Otra de sus características es la reutilización de técnicas; si bien es cierto que se añaden nuevas técnicas de vez en cuando, la mayoría de las veces los desarrolladores parece que simplemente reutilizan las de versiones anteriores.

Distribución de Guildma
En la imagen anterior vemos la distribución en cadena de la versión 150 del malware; la estructura de distribución es bastante dinámica. Por ejemplo, en versiones anteriores el archivo malicioso LNK que observamos en la imagen no estaba dentro del archivo ZIP, ni tampoco se utilizaba un archivo SFX RAR que contuviese un instalador MSI. De igual forma, solía haber una etapa JScript cuyo único propósito era descargar y ejecutar la etapa final JScript.

Ver información original al respecto en Fuente>