A Kaspersky acaba de descobrir uma nova onda de ataques do malware Guildma, desta vez direcionada a funcionários de empresas no Brasil. Explorando a repercussão em torno do bloqueio da plataforma X (anteriormente Twitter) no país. Neste ataque, os cibercriminosos enviam e-mails falsos alegando que colaboradores da empresa estão tentando acessar a rede social banida.
Na mensagem fraudulenta, o golpista induz a vítima – geralmente, um administrador do sistema – a clicar em um link para supostamente ver uma lista de quais pessoas estão realizando o “acesso indevido”. No entanto, o destino é a instalação do perigoso malware. Confira detalhes abaixo.
Como funciona o ataque
O funcionário da empresa, que geralmente possui acesso como administrador do sistema, recebe um e-mail falso, mas com aparência profissional, informando sobre acessos suspeitos de colaboradores da companhia na plataforma X. O e-mail contém o nome e CNPJ da empresa, o que indica o uso de alguma base de dados para deixar a mensagem ainda mais personalizada. Na mensagem, é enviado um link para supostamente verificar os acessos e proteger a conta.
Ao clicar no link, a vítima é direcionada para o download de um arquivo .ZIP, hospedado em um serviço de nuvem. Dentro do arquivo .ZIP, encontra-se um arquivo de atalho (LNK) disfarçado de documento. Quando a vítima executa o arquivo, um script PowerShell é ativado em segundo plano, que terminará na instalação do malware bancário e o processo de infecção pelo Guildma.
O Guildma é capaz de roubar credenciais de acesso, dados bancários, senhas e outras informações confidenciais armazenadas no dispositivo da vítima. Ele foi um dos primeiros trojans bancários nacionais que expandiram seus ataques para fora do Brasil em 2020, com campanhas anteriores focando principalmente a Europa. Contudo, a ameaça se mantém ativa e demonstra crescente interesse no Brasil, agora com iscas relacionadas à plataforma X que foi banida no final de agosto.
“Os cibercriminosos estão sempre atentos aos assuntos mais comentados para criar iscas convincentes. Com a popularidade do assunto relacionado ao X, não é surpresa que estejam explorando o tema para enganar usuários. A curiosidade e a pressa em proteger a conta podem levar os administradores a clicarem em links maliciosos, comprometendo seus dados e dispositivos”, comenta Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina. “O Guildma é um malware persistente e que se adapta constantemente a novas iscas e métodos de infecção. A origem dessa ameaça ser brasileira reforça a importância de contar com soluções de segurança robustas e manter o sistema operacional e os softwares sempre atualizados.”
Para se manter protegido, a Kaspersky recomenda:
- Desconfie de mensagens alarmantes: Verifique sempre a autenticidade do remetente antes de clicar em links ou abrir anexos.
- Não clique em links suspeitos: Acesse seus perfis em plataformas online diretamente pelo navegador ou aplicativo oficial.
- Mantenha o sistema atualizado: Assegure-se de que seu sistema operacional, navegador e softwares estejam sempre atualizados com os últimos patches de segurança.
- Utilize soluções de segurança robustas: Instale um antivírus confiável em todos os dispositivos da empresa para proteção em tempo real contra ameaças online.