Die Verbreitung des GoldenSpy-Trojaners, eine bekannte RAS-Malware, Es wurde festgestellt, dass Benutzer über eine legitime chinesische Steueranwendung infiziert werden. Es scheint, dass der Virencode aus der Software gebündelt und Teil der erforderlichen Softwareinstallation ist.
Legitime chinesische Steueranwendungen zur Bereitstellung des GoldenSpy-Trojaners
Eine neu erkannte Malware namens Goldenspy-Trojaner wird geliefert durch a Chinesisches Steuersoftware-Bundle. Die Entdeckung wurde auf den Workstations des Unternehmens von zwei in Großbritannien registrierten Technologie- und Softwareanbietern zusammen mit einem großen Finanzinstitut gemacht (Derzeit wird kein Name angegeben) die vor kurzem ihre eigenen Büros in China eröffnet haben. Diese Unternehmen haben sich im Rahmen ihrer Einrichtungsarbeiten an ein Cybersicherheitsunternehmen gewandt. Während des Audits wurde festgestellt, dass In ihrer Steuersoftware wurde verdächtiger Code gefunden.
Bei weiteren Untersuchungen ergab sich, dass dieses Programm eine Voraussetzung für die Nutzung der Unternehmen durch ihre chinesischen Banken war. Die Unternehmen gaben an, dass diese Software Teil ihres Onboarding-Pakets war, das von der Bank herausgegeben wurde, als sie ihre Filialen eröffnet haben. Die Anwendung wird verwendet, um lokale Steuern an die Regierung zu zahlen. Bei näherer Betrachtung scheint es sich bei diesem verdächtigen Code jedoch tatsächlich um eine Malware namens zu handeln GoldenSpy-Trojaner.
Goldespy-Trojaner-Aktivität: In Sichtweite versteckt
Der GoldenSpy-Trojaner wird als beschrieben Remote Access Trojan welche bei Lieferung an die Zielsysteme erhält Berechtigungen auf SYSTEM-Ebene. Dies bedeutet, dass lokale Befehle mit Administratorrechten gestartet werden können, Bearbeiten Sie wichtige Einstellungen und stellen Sie auch andere Anwendungen bereit, einschließlich Malware. Abgesehen vom Klassiker Fernzugriffsfunktionen Es gibt einige, die es den Kriminellen ermöglichen, die Kontrolle über die infizierten Wirte zu übernehmen Besonderheiten die nicht in anderen ähnlichen Bedrohungen gefunden werden:
- Der GoldenSpy-Trojaner wird installiert zwei Versionen von sich und stellen Sie sie so ein, dass sie ausgeführt werden, wenn der Computer startet. Wenn einer von ihnen aus irgendeinem Grund gestoppt wird, übernimmt der andere die Kontrolle. Dies ist auch nützlich, da die aktiv funktionierende Trojaner-Instanz ihre Datei ständig vor dem Löschen schützt. Wenn eine der wichtigsten Malware-Dateien vom System entfernt wird, wird eine neuere Version von einem Remote-Server abgerufen.
- Der Backdoor-Code bleibt auch dann im System installiert, wenn das Carrier Tax-Softwareprogramm entfernt wird.
- Der GoldenSpy-Trojaner ist verspätet installiert. Dies geschieht, um seine Anwesenheit vor Administratoren und Sicherheitstools zu verbergen, die Mustererkennungsprüfungen als Methode zum Scannen nach Viren durchführen.
- Der GoldenSpy-Trojaner stellt keinen Kontakt mit dem von der Steuersoftware verwendeten Netzwerk her. Anstatt eine Verbindung zu einer von der Malware verwendeten Infrastruktur herzustellen. Es wird ein zufälliges Beacon verwendet, das verwendet wird, um der Netzwerkerkennung zu entgehen.
- Der GoldenSpy-Trojaner kann umfangreiche Systemänderungen vornehmen. Dies bedeutet, dass Windows-Registrierungswerte bearbeitet werden können, wichtige Konfigurationsdateien und Startoptionen, um das Erkennen der Bedrohung sehr schwierig zu machen.
Derzeit ist nicht bekannt, ob der GoldenSpy-Trojaner das Werk der Landesregierung ist, Die Banken oder Hacker haben gegen die Software verstoßen und den Malware-Code eingefügt. Wir erwarten, dass bald weitere Informationen veröffentlicht werden, sobald mehr und mehr Anbieter und Unternehmen darauf aufmerksam gemacht werden. Eine Anfrage nach einem Kommentar wurde an das Finanzinstitut gesendet, von dem festgestellt wurde, dass es den Trojaner verbreitet.