TAINTEDSCRIBE
A ameaça TAINTEDSCRIBE é um malware que parece ter sido desenvolvido por um famoso APT norte-coreano (Ameaça Persistente Avançada) conhecido como HIDDEN COBRA. Esse grupo de hackers também pode ser chamado de Lazarus APT. O malware TAINTEDSCRIBE é usado para comprometer o sistema visado silenciosamente e fornecer ao grupo HIDDEN COBRA acesso de backdoor ao host. A ameaça TAINTEDSCRIBE também permite que os atacantes realizem uma ampla variedade de tarefas.
Assim que a ameaça TAINTEDSCRIBE infectar o sistema de destino, ele mascarará a sua carga útil como um serviço inofensivo usando o nome 'Narrator.exe'. É provável que os usuários associem esse nome à ferramenta legítima do Microsoft Narrator, que provavelmente não gera suspeitas. O malware TAINTEDSCRIBE também ganhará persistência no host infectado, adicionando-se à pasta de Inicialização do Windows. Isso garantirá que a ameaça TAINTEDSCRIBE seja executada toda vez que o sistema for reiniciado.
Quando a ameaça TAINTEDSCRIBE ganhar persistência no host infectado com êxito, ele permitirá que os seus operadores:
- Enviem arquivos do servidor de C&C (Comando & Controle) para o host.
- Compactem arquivos e enviem-os do host para o servidor C&C.
- Gerenciem processos ativos.
- Gerenciem serviços do Windows.
- Abram um shell remoto.
- Listem diretórios e arquivos armazenados.
- Excluam diretórios e arquivos armazenados.
- Renovem a configuração do implante.
Os pesquisadores de malware acreditam que a ameaça TAINTEDSCRIBE é usada para coletar dados dos seus alvos. Essa ferramenta de hackers pode ser utilizada para campanhas de reconhecimento a longo prazo. Como o malware TAINTEDSCRIBE é capaz de limpar arquivos e diretórios inteiros, o HIDDEN COBRA APT pode estar usando-o para causar destruição no sistema infectado.
O malware TAINTEDSCRIBE provavelmente é propagado por e-mails de phishing cuidadosamente criados. O grupo de hackers HIDDEN COBRA não deve ser subestimado. Verifique se o seu computador está protegido, investindo em um software anti-vírus genuíno.
Outros Nomes
11 fornecedores de segurança sinalizaram este arquivo como malicioso.
| Software antivírus | Detecção |
|---|---|
| - | Trojan.Generic.Win32.918308 |
| - | BScope.Trojan.Win64.AllStars |
| - | Trojan.Win32.NukeSped.fuwevb |
| - | Trojan.GenericKD.32212178 (B) |
| - | Win32/NukeSped.CO trojan variant |
| - | W32/Agent.XH.gen!Eldorado |
| BitDefender | Trojan.GenericKD.32212178 |
| - | Trojan.Win32.Generic.mmcn |
| - | TR/RedCap.ihekz |
| Antiy-AVL | Trojan/Win32.Wacatac |
| AhnLab-V3 | Trojan/Win32.Agent |
Detalhes Sobre os Arquivos do Sistema
| # | Nome do arquivo | MD5 |
Detecções
Detecções: O número de casos confirmados e suspeitos de uma determinada ameaça detectada nos computadores infectados conforme relatado pelo SpyHunter.
|
|---|---|---|---|
| 1. | 106d915db61436b1a686b86980d4af16227776fc2048f2888995326db0541438 | 24906e88a757cb535eb17e6c190f371f | |
| 2. | 2057c0cf4617eab7c91b99975dfb1e259609c4fa512e9e08a311a9a2eb65a6cf | 3005f1308e4519477ac25d7bbf054899 | |
| 3. | 19f9a9f7a0c3e6ca72ea88c655b6500f7da203d46f38076e6e8de0d644a86e35 | 68fa29a40f64c9594cc3dbe8649f9ebc |
