Helminth

O backdoor Helminth é uma atualização de uma campanha de malware anterior chamada OilRig que estava atacando organizações da Arábia Saudita há algum tempo. Com essa atualização, os autores do backdoor Helminth estão tentando invadir instituições governamentais nos EUA, Turquia e Israel. O backdoor Helminth se comunica com seus servidores de Comando e Controle usando o encapsulamento DNS, para receber comandos das tarefas que ele executará uma vez dentro de uma máquina infectada. Os criminosos podem usar o backdoor para coletar e transferir dados.

O backdoor Helminth possui duas versões: uma executável independente do Windows e outra escrita em VBScript e Powershell instalada na máquina de destino por meio de uma macro encontrada nas planilhas do Excel. Ambos usam protocolos de comando e controle muito semelhantes que permitem o gerenciamento dos hosts comprometidos. No entanto, parece que Helminth tem variantes posteriores adicionais. O Helminth pode invadir um computador usando diferentes métodos de entrega, que um scanner de malware dedicado e atualizado pode interceptar e desabilitar antes que possa causar danos à máquina afetada e a seus controladores.