GoldenSpy

Descrição do GoldenSpy

Os especialistas em malware identificaram uma nova ameaça, que foi chamada de GoldenSpy. Segundo os analistas, houve duas empresas que foram violadas até agora. Ambas as organizações estão localizadas no Reino Unido. Uma das empresas afetadas está envolvida no desenvolvimento de software, enquanto a outra atua no setor financeiro. O que é muito intrigante sobre o malware GoldenSpy é que ele foi entregue aos alvos através de um software de tributação que foi apresentado como legítimo por um banco chinês. O banco em questão exigia que as empresas afetadas instalassem o software desonesto. Não se sabe se o banco sabia que o software de tributação que eles exigiam que seus parceiros instalassem carregava a carga útil do malware GoldenSpy.

A ameaça GoldenSpy serve ao propósito de um Trojan de backdoor. Uma vez que o malware GoldenSpy comprometa um sistema visado, permitirá que seus operadores executem arquivos adicionais no host, além de executar comandos remotos. Ao instalar o software de tributação obscuro, o malware GoldenSpy também será plantado no host. O aplicativo desonesto não leva mais de duas horas para injetar a carga útil do malware GoldenSpy no host. Em seguida, o GoldenSpy Trojan garantirá persistência no host, gerando duas cópias de sua carga útil e configurando dois serviços, que são programados para serem executados sempre que o sistema infiltrado for reiniciado. Essa ameaça desagradável também ganhará permissões de administrador, o que permitirá que ele tenha controle quase total sobre o sistema violado. Se o usuário remover uma das cópias da ameaça, a outra injetará uma nova carga imediatamente. Infelizmente, a desinstalação do software de tributação duvidoso não ajudará você a se livrar do Trojan GoldenSpy.

O que torna o malware GoldenSpy tão ameaçador é que os alvos podem não perceber que algo está ocorrendo nos seus sistemas desde que a ameaça foi entregue pelo que parecia ser um aplicativo legítimo recomendado por um parceiro de confiança. O vetor de infecção e o próprio Trojan são muito complexos e apontam para um grupo experiente e altamente qualificado de cibercriminosos. Provavelmente ouviremos sobre mais empresas e organizações visadas pela ameaça GoldenSpy no futuro.

Informação Técnica

Screenshots e Outras Imagens

GoldenSpy capturas de tela

goldenhelper goldenspy malware files process flow goldenspy malware

Detalhes Sobre os Arquivos do Sistema

GoldenSpy cria o(s) seguinte(s) arquivo(s):
# Nome do arquivo MD5 Contagem da Detecção
1 %WINDIR%\system32\taxver.exe N/A
2 %WINDIR%"\debug\wia\taxver.exe N/A
3 %WINDIR%"\debug\taxver.exe N/A
4 %WINDIR%"\taxver.exe N/A
5 %ALLUSERPROFILE%"\taxver.exe N/A
6 %COMMONPROGRAMFILES%"\taxver.exe N/A
7 msxxxs999.dat 490d17a5b016f3abc14cc57f955b49b3 N/A
8 Wmiasssrv.dll 682a0826db8572bad205a4db12005e13 N/A
9 Wmiasssrv.dll 26e71f1d387298162c1b19e858d001a1 N/A
10 Skpc.dll 9e2ebdbc9ba4dca69a712e3268f3ab77 N/A
11 Skpc.dll fbb35e8f16e7d5a735f06ae03e8bfaac N/A
12 Skpc.dll 61eed90b1ae70244cd87a3abd3ec622a N/A
13 Skpc.dll d312336fd46972a544929d0dc4e07b83 N/A
14 Skpc.dll 27d448f9d2bed761e15541c55b5966f2 N/A
15 Skpc.dll bee06d785b7e51a0127a96c5854d4345 N/A
16 Skpc.dll 471c75acc284396354c89616f9030718 N/A
17 JSKP_BWB_1.0.4.0.exe N/A

Maiores Detalhes sobre GoldenSpy

As seguintes URL's foram encontradas:
Dica: Nós recomendamos que sejam bloqueados os nomes dos domínios, bem como os endereços de IP associados a eles.
  • bbs.tax-helper.info
  • download.tax-helper.com
  • inf.tax-assistant.com
  • info.tax-assistant.com
  • info.tax-assistant.info
  • info.tax-helper.ltd
  • tax-assistant.com
  • tax-assistant.info
  • tax-helper.ltd
  • tip.tax-helper.ltd
  • tools.tax-helper.info
  • update.tax-helper.com
  • update.tax-helper.ltd