Vários desinstaladores lançados para malware ‘GoldenSpy’ vinculado à China

Os pesquisadores de segurança da Trustwave identificaram um total de cinco desinstaladores destinados a remover o backdoor GoldenSpy dos computadores infectados.

O malware GoldenSpy foi inicialmente detalhado no final de junho e provavelmente foi implantado desde abril de 2020, por meio de um aplicativo fiscal oficial que as empresas estrangeiras que fazem negócios na China são obrigadas a instalar. O software financeiro funcionou conforme o esperado, mas também instalou uma porta dos fundos oculta.

Chamado de GoldenSpy, o backdoor foi posteriormente descoberto como tendo sido precedido pelo GoldenHelper , outra família de malware instalada silenciosamente por meio de software fiscal oficial chinês. No final de junho, o FBI emitiu um alerta para alertar as organizações de saúde, produtos químicos e finanças dos Estados Unidos sobre a ameaça.

No final de junho, logo após a publicação do relatório inicial do GoldenSpy, os atores por trás dele alavancaram o mecanismo de atualização do software fiscal para entregar um desinstalador às máquinas infectadas e remover completamente o malware e artefatos adicionais, incluindo o desinstalador.

Hoje, a Trustwave revelou que um total de cinco desinstaladores GoldenSpy foram lançados até o momento, alguns dos quais foram carregados em repositórios públicos, aumentando assim suas taxas de detecção.

“Entendendo que os invasores estavam observando cada movimento nosso para ajudar as organizações afetadas pelo GoldenSpy, esperamos um período de tempo e seguimos em silêncio com nossa estratégia de caça às ameaças. O que descobrimos é que eles continuam a promover novos desinstaladores GoldenSpy – até agora, descobrimos cinco variantes, totalizando 24 arquivos desinstaladores ”, afirma a Trustwave.

Todas as variantes do desinstalador identificadas mostram comportamento idêntico, embora algumas delas usem diferentes fluxos de execução e ofuscação de sequência. O tamanho dos desinstaladores também difere, ajudando-os a evitar a detecção.

A análise dos desinstaladores permitiu que os pesquisadores de segurança descobrissem que, começando com a terceira variante, as amostras subsequentes enviariam um ID exclusivo para o domínio ningzhidata [.] Com, permitindo que o adversário rastreasse a atividade do código.

A investigação também revelou que o código usaria o IP 39 [.] 98 [.] 110 [.] 234 para um farol de terceiro estágio, e os pesquisadores de segurança vincularam o endereço à Ningbo Digital Technology Co., Ltd, uma empresa que afirma para fornecer suporte técnico para empresas profissionais e fornecedores de serviços de tecnologia.

Em seu site, a empresa fornece dois arquivos para download, que a Trustwave identificou como sendo um dropper GoldenSpy (denominado iclient) e o desinstalador GoldenSpy (denominado QdfTools). A Ningbo Digital Technology afirma que está oferecendo o desinstalador como “Software de detecção e limpeza de ambiente de serviço corporativo”.

“Com base nessas descobertas, podemos dizer que a Ningbo Digital Technology Co., Ltd está envolvida no desenvolvimento do ‘GoldenSpy Uninstaller’ e do ningzhidata [.] Com servindo de servidores CDN”, conclui a Trustwave.

Fonte: https://www.securityweek.com/multiple-uninstallers-released-china-linked-goldenspy-malware