ServHelper

O ServHelper é uma infecção por um malware ameaçador. ServHelper não ataca sozinho; O ServHelper faz parte de um kit de malware duplo que inclui um componente de malware conhecido como FlawedGrace. Embora esses dois componentes de malware sejam entregues juntos, eles não são rotulados como um pacote e geralmente são estudados e rotulados separadamente. Cada componente deste ataque, ServHelper e FlawedGrace, se concentra em um aspecto diferente do ataque e operação. Ataques envolvendo o ServHelper têm como alvo entidades de alto perfil que podem incluir grandes empresas e instituições financeiras. O ataque do ServHelper foi vinculado a um grupo criminoso conhecido como TA505. Esse grupo foi vinculado a várias campanhas de malware de alto perfil, incluindo campanhas de spam usadas para fornecer o Dridex, que possivelmente também foram responsáveis pela criação do Locky, uma das ameaças mais infames ao ransomware. Os atuais ataques do TA505, além do ServHelper, envolvem as variantes do Globe Imposter Ransowmare e um Trojan Downloader conhecido como QuantLoader para realizar campanhas de malware.

Qual é o Significado dos Ataques do ServHelper

Os ataques do ServHelper foram observados pela primeira vez em abril de 2019. Essa combinação do ServHelper e do FlawedGrace é usada para se infiltrar no PC da vítima. O ServHelper cria um backdoor no dispositivo do computador infectado e o FlawedGrace funciona como um Trojan Downloader, instalando outros malwares no computador da vítima. Esses dois componentes funcionam juntos, e o módulo carregador pode ser usado para atualizar o componente ServHelper para tornar o ataque mais eficaz e mantê-lo atualizado. O ServHelper trabalha em segundo plano silenciosamente, permitindo que criminosos monitorem um computador para acompanhar as atividades da vítima. O FlawedGrace, por outro lado, parece ser usado nas redes comerciais para coletar dados e instalar outros malwares.

Como o ServHelper é Entregue às Vítimas

Há um único vetor de infecção associado à campanha ServHelper. Os ataques anteriores ao TA505 envolveram uma ampla variedade de vetores de ataque, desde emails de engenharia social e phishing, até explorações de malware e ataques diretos. A maneira mais comum de entregar o ServHelper, no entanto, parece ser anexos de email de spam aproveitando as vulnerabilidades no Microsoft Office para entregar o ServHelper e outros malwares no computador da vítima. Depois que o ServHelper é instalado, o ServHelper funciona como um típico Trojan backdoor. ServHelper recebe seu nome devido ao uso de um arquivo DLL chamado 'ServHelper.dll' que cria uma conexão entre o computador infectado e o servidor de comando e controle. O ServHelper possui uma ampla variedade de recursos que permitem realizar ataques no computador da vítima e é atualizado ativamente por seus controladores.

O ServHelper Representa uma Ameaça Significativa para Empresas e Usuários de Computador

Embora a maioria dos usuários individuais de computadores não espere ser infectados como parte da campanha ServHelper, grandes empresas, lojas de varejo e instituições financeiras correm risco de infecções pelo ServHelper e outros ataques que possam colocar em risco seus dados. Portanto, você deve tomar precauções eficazes para garantir que todos os seus dispositivos estejam protegidos contra o ServHelper. Primeiro, verifique se todo o software está totalmente atualizado. Além disso, use um filtro de spam confiável e verifique se todas as mensagens de email e anexos não solicitados são tratados com suspeita. Além disso, recomenda-se aos usuários de computador que usem um programa de segurança para interceptar a infecção do ServHelper e removê-lo e seu componente de malware associado de um computador, se houver algum vestígio de infecção nele. Também é crucial educar os usuários de computador, especialmente os funcionários de uma empresa, para garantir que eles não sejam vítimas de engenharia social e campanhas de email de spam.