Distributionen af GoldenSpy Trojan, en fremtrædende malware med fjernadgang, har vist sig at inficere brugere via en legitim kinesisk skatteansøgning. Det ser ud til, at viruskoden er samlet inde fra softwaren og er en del af den krævede softwareinstallation.
Legitime kinesiske skatteanvendelser, der bruges til at implementere GoldenSpy Trojan
En nyopdaget malware kendt som Goldenspy Trojan leveres gennem a Kinesisk bundt af skattesoftware. Opdagelsen blev fundet på virksomhedens arbejdsstationer hos to teknologi- og softwareleverandører, der er registreret i England sammen med en større finansiel institution (intet navn gives på dette tidspunkt) der for nylig har åbnet deres egne kontorer i Kina. Disse virksomheder har nået et cybersecurity-selskab som en del af deres opsætningsoperationer. Under revisionen blev det afsløret Der blev fundet mistænkelig kode i deres skattesoftware.
Efter en yderligere undersøgelse af sagen blev det afsløret, at dette program var et krav for, at virksomhederne skulle bruges af deres kinesiske banker. Virksomhederne oplyste, at denne software var en del af deres onboarding-pakke, der blev udstedt af banken, når de har åbnet deres filialer. Programmet bruges til at betale lokale skatter til regeringen. Men når man ser et dybere blik, ser det ud til, at denne mistænkelige kode faktisk er en malware, der kaldes GoldenSpy Trojan.
Goldespy Trojan-aktivitet: Skjult i syne
GoldenSpy Trojan beskrives som en fjernadgang Trojan som ved levering til målsystemerne opnår privilegier på SYSTEM-niveau. Dette betyder, at det er i stand til at starte lokale kommandoer med administrative privilegier, redigere vigtige indstillinger og også distribuere andre applikationer, herunder malware. Bortset fra at have klassikeren fjernadgangsfunktioner der giver kriminelle mulighed for at overtage kontrollen over de inficerede værter der er nogle forskellige træk der ikke findes i andre lignende trusler:
- GoldenSpy Trojan installeres to versioner af sig selv og indstil dem til at køre, når computeren starter. Hvis en af dem af en eller anden grund stoppes, overtager den anden kontrol. Dette er også nyttigt, da den aktive arbejdende Trojan-instans konstant vil beskytte sin fil mod sletning. Hvis en af de centrale malware-filer fjernes fra systemet, hentes en nyere version fra en ekstern server.
- Bagdørskoden forbliver installeret i systemet, selvom softwareprogrammet for operatørafgift fjernes.
- GoldenSpy Trojan er installeret på en forsinket måde. Dette gøres for at skjule dens tilstedeværelse fra administratorer og sikkerhedsværktøjer, der udfører kontrol af mønstergenkendelse som deres metode til at scanne efter vira.
- GoldenSpy Trojan vil ikke indlede kontakt med det netværk, der bruges af skattesoftwaren. I stedet for at det vil starte en forbindelse til en infrastruktur, der bruges af malware. Den bruger en randomiseret fyr, der bruges til at undgå netværksdetektering.
- GoldenSpy Trojan har evnen til at udføre omfattende systemændringer. Dette betyder, at det kan redigere Windows-registerværdier, vigtige konfigurationsfiler og startindstillinger for at gøre det meget vanskeligt at identificere truslen.
I øjeblikket vides det ikke, om GoldenSpy Trojan er statens regerings arbejde, bankerne eller hackerne har brudt softwaren og indsat malware-koden. Vi forventer, at mere information vil blive offentliggjort snart, når flere og flere leverandører og virksomheder bliver opmærksomme på det. En anmodning om kommentar er blevet sendt til den finansielle institution, der har vist sig at distribuere trojanen.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: