Guildma e Javali empregam um processo de implanta\u00e7\u00e3o de malware em v\u00e1rios est\u00e1gios, usando e-mails de phishing como um mecanismo para distribuir as cargas \u00fateis iniciais.<\/p>\n
<\/p>\n
A Kaspersky descobriu que o Guildma n\u00e3o apenas adicionou novos recursos e furtividade \u00e0s suas campanhas desde a sua origem em 2015, mas tamb\u00e9m expandiu-se para novos alvos al\u00e9m do Brasil para atacar usu\u00e1rios banc\u00e1rios na Am\u00e9rica Latina.<\/p>\n
<\/p>\n
Uma nova vers\u00e3o do malware, por exemplo, usa anexos de email compactados (por exemplo, .VBS, .LNK) como um vetor de ataque para camuflar as cargas maliciosas ou um arquivo HTML que executa um peda\u00e7o de c\u00f3digo JavaScript para baixar o arquivo e buscar outros m\u00f3dulos usando uma ferramenta de linha de comando leg\u00edtima como o BITSAdmin.<\/p>\n
<\/p>\n
Al\u00e9m disso, ele tira proveito dos fluxos de dados alternativos do NTFS para ocultar a presen\u00e7a das cargas transferidas por download nos sistemas de destino e aproveita o sequestro de pedidos de pesquisa de DLL para iniciar os bin\u00e1rios de malware, apenas prosseguindo se o ambiente estiver livre de depura\u00e7\u00e3o e ferramentas de virtualiza\u00e7\u00e3o.<\/p>\n
<\/p>\n
![\"Brazilian](\"https:\/\/thehackernews.com\/images\/-d1jizh2L0As\/Xw7y4yHq2KI\/AAAAAAAAAj0\/cizfmfqFWYQIQkoF0AGu0J_c568ykLaBQCLcBGAsYHQ\/s728-e100\/hacking-news.jpg\" "\\"Brazilian")
<\/a><\/div>\n<\/p>\n
“Para executar os m\u00f3dulos adicionais, o malware usa a t\u00e9cnica oca do processo para ocultar a carga maliciosa dentro de um processo na lista de permiss\u00f5es, como o svchost.exe”, disse Kaspersky. Esses m\u00f3dulos s\u00e3o baixados de um servidor controlado por invasor, cujas informa\u00e7\u00f5es s\u00e3o armazenadas nas p\u00e1ginas do Facebook e do YouTube em um formato criptografado.<\/p>\n
<\/p>\n
Uma vez instalada, a carga \u00fatil final monitora sites espec\u00edficos do banco, que quando abertos, acionam uma cascata de opera\u00e7\u00f5es que permitem que os cibercriminosos realizem qualquer transa\u00e7\u00e3o financeira usando o computador da v\u00edtima.<\/p>\n
<\/p>\n
O Javali (ativo desde novembro de 2017), da mesma forma, baixa cargas \u00fateis enviadas por e-mail para buscar um malware de est\u00e1gio final de um C2 remoto capaz de roubar informa\u00e7\u00f5es financeiras e de login de usu\u00e1rios no Brasil e no M\u00e9xico que est\u00e3o visitando sites de criptomoeda (Bittrex) ou pagamento solu\u00e7\u00f5es (Mercado Pago).<\/p>\n
<\/p>\n
Roubo de senhas e carteiras de Bitcoin<\/strong><\/p>\n O Melcoz, uma variante do PC de acesso remoto RAT de c\u00f3digo aberto, est\u00e1 vinculado a uma s\u00e9rie de ataques no Chile e no M\u00e9xico desde 2018, com o malware capaz de roubar senhas de navegadores e informa\u00e7\u00f5es da \u00e1rea de transfer\u00eancia e carteiras de Bitcoin substituindo os detalhes originais da carteira com uma alternativa duvidosa de propriedade dos advers\u00e1rios.<\/p>\n <\/p>\n Ele usa scripts VBS nos arquivos do pacote do instalador (.MSI) para baixar o malware no sistema e, posteriormente, abusa do interpretador AutoIt e do servi\u00e7o NAT VMware para carregar a DLL mal-intencionada no sistema de destino.<\/p>\n <\/p>\n “O malware permite ao invasor exibir uma janela de sobreposi\u00e7\u00e3o na frente do navegador da v\u00edtima para manipular a sess\u00e3o do usu\u00e1rio em segundo plano”, disseram os pesquisadores. “Dessa forma, a transa\u00e7\u00e3o fraudulenta \u00e9 realizada na m\u00e1quina da v\u00edtima, dificultando a detec\u00e7\u00e3o de solu\u00e7\u00f5es antifraude no final do banco”.<\/p>\n <\/p>\n Al\u00e9m disso, um agente de amea\u00e7as tamb\u00e9m pode solicitar informa\u00e7\u00f5es espec\u00edficas solicitadas durante uma transa\u00e7\u00e3o banc\u00e1ria, como uma senha descart\u00e1vel, ignorando a autentica\u00e7\u00e3o de dois fatores.<\/p>\n <\/p>\n