Guildma

De activiteit van de Guildma-malware werd voor het eerst opgemerkt in 2015. Deze bedreiging is een spyware-toolkit, die zeer goed is gemaakt. Aanvankelijk concentreerden de auteurs van de Guildma-toolkit hun activiteiten alleen in Brazilië. Op een gegeven moment besloten de makers van de Guildma-malware echter om ambitieuzere campagnes te lanceren die wereldwijd doelen nastreefden. De dreiging was geprogrammeerd om alleen te werken met Braziliaanse bankinstellingen, maar sinds de makers ervan besloten hun bereik uit te breiden, werden wereldwijd 130 bankportals toegevoegd aan de doellijst van de Guildma-malware.

Voortplantingsmethode

De Guildma-dreiging lijkt voornamelijk te worden verspreid via spearphishing-campagnes. De aanvallers zouden een PHP-script gebruiken om de distributie van massale spam-e-mails naar een lange lijst met e-mailadressen te automatiseren. De auteurs van de Guildma-malware lijken gekaapte of gehuurde servers te gebruiken waarmee ze de spam-e-mails verspreiden. De berichten in de e-mails zijn zorgvuldig samengesteld om de gebruiker te overtuigen het bijgevoegde beschadigde bestand te openen. Om de e-mails legitiemer te laten lijken en de gebruiker te laten denken dat de bijlage een belangrijk document is, dat ze moeten nakijken, maskeren de aanvallers ze vaak als informatie over een vacature, een belastinggerelateerd rapport, een overheidsartikel, enz. Een rapport uitgegeven door een populair cybersecuritybedrijf stelt dat alleen in 2019 de Guildma-malware heeft geprobeerd meer dan 150.000 gebruikers wereldwijd te infiltreren.

mogelijkheden

De Guildma-malware kan dienen als een RAT (Remote Access Trojan), een infostealer, een spyware-tool en een bank-trojan. Dit laat zien hoe flexibel de Guildma-malware is en hoe bedreigend deze kan zijn. Wanneer de Guildma-malware een host met succes compromitteert, kan zijn activiteit door verschillende factoren worden geactiveerd. Deze bedreiging zal de activiteit van de gebruiker volgen en zou dienovereenkomstig handelen. De Guildma-dreiging houdt bijvoorbeeld in de gaten of het slachtoffer toegang probeert te krijgen tot een bankportaal, dat op de doellijst van deze malware staat. De Guildma-malware is echter niet alleen gericht op financiële services. Deze vervelende bedreiging zoekt naar alle mogelijke informatie en zorgt ervoor dat deze op verschillende manieren kan worden verzameld: inloggegevens verzamelen, gegevens van formulieren voor automatisch aanvullen verzamelen en zelfs schermafbeeldingen van het bureaublad en geopende tabbladen maken. De Guildma-malware richt zich ook op Netflix, Amazon, Facebook en andere populaire services en probeert de inloggegevens van het slachtoffer te verzamelen. Een methode die de Guildma-malware gebruikt, is het sluiten van het tabblad Webbrowser van de gebruikers, zodat de slachtoffers het opnieuw moeten openen en hun inloggegevens opnieuw moeten invoeren, waardoor de aanvallers ze kunnen verzamelen. Deze dreiging houdt ook FTP-clients en e-mailclients in de gaten. Aangezien de Guildma-malware ook kan dienen als een RAT, kan het de aanvallers toestaan om extra malware op de gecompromitteerde host te planten, wat deze bedreiging verder bewapent.

De auteurs van de Guildma-malware blijven deze hacktool upgraden en nog krachtiger maken. Deze malware is nu een traktatie voor gebruikers over de hele wereld en u moet op uw hoede zijn voor verdachte e-mails van onbekende bronnen. Zorg er bovendien voor dat u al uw applicaties up-to-date houdt en onderzoek een antivirusoplossing die uw systeem veilig houdt.