GoldenSpy

Por GoldSparrow em Backdoors

Os especialistas em malware identificaram uma nova ameaça, que foi chamada de GoldenSpy. Segundo os analistas, houve duas empresas que foram violadas até agora. Ambas as organizações estão localizadas no Reino Unido. Uma das empresas afetadas está envolvida no desenvolvimento de software, enquanto a outra atua no setor financeiro. O que é muito intrigante sobre o malware GoldenSpy é que ele foi entregue aos alvos através de um software de tributação que foi apresentado como legítimo por um banco chinês. O banco em questão exigia que as empresas afetadas instalassem o software desonesto. Não se sabe se o banco sabia que o software de tributação que eles exigiam que seus parceiros instalassem carregava a carga útil do malware GoldenSpy.

A ameaça GoldenSpy serve ao propósito de um Trojan de backdoor. Uma vez que o malware GoldenSpy comprometa um sistema visado, permitirá que seus operadores executem arquivos adicionais no host, além de executar comandos remotos. Ao instalar o software de tributação obscuro, o malware GoldenSpy também será plantado no host. O aplicativo desonesto não leva mais de duas horas para injetar a carga útil do malware GoldenSpy no host. Em seguida, o GoldenSpy Trojan garantirá persistência no host, gerando duas cópias de sua carga útil e configurando dois serviços, que são programados para serem executados sempre que o sistema infiltrado for reiniciado. Essa ameaça desagradável também ganhará permissões de administrador, o que permitirá que ele tenha controle quase total sobre o sistema violado. Se o usuário remover uma das cópias da ameaça, a outra injetará uma nova carga imediatamente. Infelizmente, a desinstalação do software de tributação duvidoso não ajudará você a se livrar do Trojan GoldenSpy.

O que torna o malware GoldenSpy tão ameaçador é que os alvos podem não perceber que algo está ocorrendo nos seus sistemas desde que a ameaça foi entregue pelo que parecia ser um aplicativo legítimo recomendado por um parceiro de confiança. O vetor de infecção e o próprio Trojan são muito complexos e apontam para um grupo experiente e altamente qualificado de cibercriminosos. Provavelmente ouviremos sobre mais empresas e organizações visadas pela ameaça GoldenSpy no futuro.

GoldenSpy capturas de tela

goldenhelper goldenspy malware files process flow
goldenspy malware

Detalhes Sobre os Arquivos do Sistema

GoldenSpy pode criar o(s) seguinte(s) arquivo(s):
# Nome do arquivo MD5 Detecções
1. %WINDIR%\system32\taxver.exe
2. %WINDIR%"\debug\wia\taxver.exe
3. %WINDIR%"\debug\taxver.exe
4. %WINDIR%"\taxver.exe
5. %ALLUSERPROFILE%"\taxver.exe
6. %COMMONPROGRAMFILES%"\taxver.exe
7. msxxxs999.dat 490d17a5b016f3abc14cc57f955b49b3
8. Wmiasssrv.dll 682a0826db8572bad205a4db12005e13
9. Wmiasssrv.dll 26e71f1d387298162c1b19e858d001a1
10. Skpc.dll 9e2ebdbc9ba4dca69a712e3268f3ab77
11. Skpc.dll fbb35e8f16e7d5a735f06ae03e8bfaac
12. Skpc.dll 61eed90b1ae70244cd87a3abd3ec622a
13. Skpc.dll d312336fd46972a544929d0dc4e07b83
14. Skpc.dll 27d448f9d2bed761e15541c55b5966f2
15. Skpc.dll bee06d785b7e51a0127a96c5854d4345
16. Skpc.dll 471c75acc284396354c89616f9030718
17. JSKP_BWB_1.0.4.0.exe

URLs

GoldenSpy pode chamar os seguintes URLs:

bbs.tax-helper.info
download.tax-helper.com
inf.tax-assistant.com
info.tax-assistant.com
info.tax-assistant.info
info.tax-helper.ltd
tax-assistant.com
tax-assistant.info
tax-helper.ltd
tip.tax-helper.ltd
tools.tax-helper.info
update.tax-helper.com
update.tax-helper.ltd

Tendendo

Mais visto

Carregando...