GoldenHelper
Em junho de 2020, os pesquisadores de segurança cibernética detectaram um pedaço interessante de malware - a ameaça GoldenSpy . Essa ameaça é um backdoor, que foi distribuído de uma maneira bastante intrigante. Em vez de usar técnicas convencionais de distribuição, o backdoor GoldenSpy foi plantado nos sistemas de destino por meio de um aplicativo de imposto legítimo. Os alvos eram empresas e organizações que trabalhavam com um banco chinês, o que exigia a instalação do software tributário, que carregava a carga útil da ameaça GoldenSpy. Ainda não se sabe se o banco chinês em questão espalhou deliberadamente o malware GoldenSpy, ou se estava inconsciente do aplicativo malicioso.
Depois de analisar mais detalhadamente esse caso, os analistas de segurança cibernética detectaram outro malware distribuído usando o mesmo vetor de infecção - a ameaça GoldenHelper. A ferramenta de hackers GoldenHelper e o malware GoldenSpy são ameaças bastante diferentes. Segundo os pesquisadores, a ameaça GoldenHelper é mais antiga que o malware GoldenSpy - o primeiro parece estar ativo desde 2018, enquanto o último foi visto no mês passado. A ferramenta de hackers GoldenHelper foi encontrada incorporada em um aplicativo chamado 'Golden Tax Invoicing Software'.
Há uma empresa que parece estar associada ao malware GoldenHelper e à ameaça GoldeSpy - a Aisino Corporation. Esta empresa foi criada em 2000 e é originária da China. A Aisino Corporation é afiliada a uma empresa chamada NouNou Technologies. A última empresa certificou o software tributário, usado na distribuição do malware GoldenHelper. A empresa NouNou Technologies também foi associada ao software que propagou o malware GoldenSpy - o aplicativo 'Intelligent Tax'.
Alguns dos recursos encontrados no implante GoldenHelper foram projetados para mantê-lo o mais furtivo possível. Por exemplo, seus componentes não usam nomes codificados e, em vez disso, seus nomes são gerados aleatoriamente. Além disso, ele usa uma exploração para ignorar o UAC (Controle de Conta de Usuário) sem alertar a vítima. Por fim, ele possui um algoritmo de geração de domínio (DGA) para randomizar a conexão com os servidores de controle.
As empresas precisam ter muito cuidado ao instalar um novo software em suas redes, mesmo que seja de um parceiro confiável, como no caso dos aplicativos fiscais que distribuem as ameaças GoldenSpy e GoldenHelper.
