La distribución del troyano GoldenSpy, un destacado malware de acceso remoto, se ha encontrado que infecta a los usuarios a través de una aplicación fiscal china legítima. Parece que el código del virus está incluido dentro del software y forma parte de la instalación de software requerida.
Aplicaciones legítimas de impuestos chinos utilizadas para implementar el troyano GoldenSpy
Un malware recientemente detectado conocido como el Troyano Goldenspy se entrega a través de un Paquete de software de impuestos chino. El descubrimiento se realizó en las estaciones de trabajo de la compañía de dos proveedores de tecnología y software registrados en el Reino Unido junto con una importante institución financiera. (no se da nombre en este momento) que recientemente abrieron sus propias oficinas en China. Estas compañías han contactado a una compañía de ciberseguridad como parte de sus operaciones de configuración. Durante la auditoría se reveló que se encontró código sospechoso en su software de impuestos.
Tras una investigación adicional sobre el asunto, se reveló que este programa era un requisito para que las compañías fueran utilizadas por sus bancos chinos.. Las compañías declararon que este software era parte de su paquete de incorporación emitido por el banco cuando abrieron sus sucursales. La aplicación se utiliza para pagar impuestos locales al gobierno.. Sin embargo, al echar un vistazo más profundo, parece que este código sospechoso es en realidad un malware llamado GoldenSpy Trojan.
Actividad de Troya Goldespy: Oculto a la vista
El troyano GoldenSpy se describe como un troyano de acceso remoto que al ser entregados a los sistemas de destino obtiene privilegios de nivel de sistema. Esto significa que es capaz de lanzar comandos locales con privilegios administrativos, editar configuraciones importantes y también implementar otras aplicaciones, incluyendo malware. Aparte de tener el clásico funciones de acceso remoto que permiten a los delincuentes tomar el control de los hosts infectados, hay algunos características distintas que no se encuentran en otras amenazas similares:
- El troyano GoldenSpy se instalará dos versiones de sí mismo y configurarlos para que se ejecuten cuando la computadora arranque. Si uno de ellos se detiene por alguna razón, el otro tomará el control. Esto también es útil ya que la instancia activa de troyano en funcionamiento protegerá constantemente su archivo de la eliminación. Si se elimina uno de los archivos principales de malware del sistema, se recuperará una versión más nueva de un servidor remoto.
- El código de puerta trasera permanecerá instalado en el sistema incluso si se elimina el programa de software de impuestos del operador.
- El troyano GoldenSpy es instalado de manera retrasada. Esto se hace para ocultar su presencia a los administradores y a las herramientas de seguridad que realizan comprobaciones de reconocimiento de patrones como su método para buscar virus..
- El troyano GoldenSpy no iniciará contacto con la red utilizada por el software fiscal. En lugar de iniciar una conexión a una infraestructura utilizada por el malware. Utiliza una baliza aleatoria que se utiliza para evadir la detección de la red..
- El troyano GoldenSpy tiene la capacidad de realizar grandes cambios en el sistema.. Esto significa que puede editar los valores del Registro de Windows, archivos de configuración importantes y opciones de arranque para que sea muy difícil identificar la amenaza.
En este momento no se sabe si el troyano GoldenSpy es obra del gobierno estatal., los bancos o los piratas informáticos han violado el software e insertado el código de malware. Esperamos que se publique más información pronto a medida que más y más proveedores y empresas estén informados. Se ha enviado una solicitud de comentarios a la institución financiera que se ha encontrado que distribuye el troyano.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: