Malware GoldFinder

GoldFinder es una nueva cepa de malware que fue descubierta por los investigadores de ciberseguridad de Microfost. Es una herramienta de construcción personalizada altamente especializada que se observó como parte de las actividades del grupo ATP Nobelium (UNC2542). La tarea principal de GoldFinder es espiar dentro de la red de la organización comprometida y luego informar a los piratas informáticos de cualquier punto débil en su configuración o si sus acciones están siendo registradas.

 GoldFinder está escrito en Golang y puede describirse como una herramienta de rastreo HTTP. Tras su ejecución en el sistema comprometido, la amenaza de malware registrará la ruta completa y cada salto que realice un paquete en su camino hacia la dirección codificada del servidor Command-and-Control (C2, C&C). En la práctica, esto significa que el malware mapeará todos los servidores proxy HTTP o cualquier otra redirección que pueda representar dispositivos de seguridad de red, tanto dentro como fuera de la red.

 GoldFinder podría usarse para señalar a los piratas informáticos de Nobelium si su comunicación con otras amenazas de malware, como la puerta trasera GoldMax / Sunshuttle, en el sistema violado ha sido interceptada.

El Nobelium APT, previamente desconocido, saltó a la fama el año pasado cuando ejecutaron un ataque masivo a la cadena de suministro contra SolarWinds. Durante la operación amenazadora, se cree que aproximadamente 18.000 clientes de SolarWinds se han visto afectados.