CYBER NOUVELLES

GoldenSpy Trojan installé via une application fiscale chinoise légitime

La distribution du cheval de Troie GoldenSpy, un logiciel malveillant d'accès à distance de premier plan, a été trouvé pour infecter les utilisateurs via une application fiscale chinoise légitime. Il semble que le code de virus soit intégré au logiciel et fasse partie de l'installation logicielle requise.




Applications fiscales chinoises légitimes utilisées pour déployer le cheval de Troie GoldenSpy

Un malware récemment détecté, appelé Goldenspy Trojan est livré via un Ensemble de logiciels fiscaux chinois. La découverte a été faite sur les postes de travail de l'entreprise de deux fournisseurs de technologies et de logiciels enregistrés au Royaume-Uni ainsi que d'une grande institution financière (aucun nom n'est donné en ce moment) qui ont récemment ouvert leurs propres bureaux en Chine. Ces entreprises ont contacté une société de cybersécurité dans le cadre de leurs opérations de configuration. Au cours de l'audit, il a été révélé que un code suspect a été trouvé dans leur logiciel d'impôt.

Après une enquête plus approfondie sur la question, il a été révélé que ce programme était obligatoire pour que les sociétés soient utilisées par leurs banques chinoises.. Les entreprises ont déclaré que ce logiciel faisait partie de leur package d'intégration émis par la banque lors de l'ouverture de leurs succursales. L'application est utilisée pour payer les taxes locales au gouvernement. Cependant, en y regardant de plus près, il apparaît que ce code suspect est en fait un malware appelé GoldenSpy Trojan.

en relation: Logiciels malveillants Lucifer à propagation automatique contre les ordinateurs Windows

Activité du cheval de Troie Goldespy: Caché dans la vue

Le cheval de Troie GoldenSpy est décrit comme Trojan d'accès à distance qui lors de la livraison aux systèmes cibles obtient des privilèges de niveau SYSTÈME. Cela signifie qu'il est capable de lancer des commandes locales avec des privilèges administratifs, modifier les paramètres importants et également déployer d'autres applications, y compris les logiciels malveillants. En plus d'avoir le classique fonctionnalités d'accès à distance qui permettent aux criminels de prendre le contrôle des hôtes infectés, il y a des caractéristiques distinctes qui ne se trouvent pas dans d'autres menaces similaires:

  • Le cheval de Troie GoldenSpy va installer deux versions de lui-même et les configurer pour s'exécuter au démarrage de l'ordinateur. Si l'un d'eux est arrêté pour une raison quelconque, l'autre prendra le contrôle. Ceci est également utile car l'instance active du cheval de Troie protégera constamment son fichier de la suppression. Si l'un des fichiers malveillants de base est supprimé du système, une version plus récente sera récupérée à partir d'un serveur distant.
  • Le code de porte dérobée restera installé dans le système même si le logiciel de taxe sur les transporteurs est supprimé.
  • Le cheval de Troie GoldenSpy est installé de manière retardée. Ceci est fait afin de cacher sa présence aux administrateurs et aux outils de sécurité qui effectuent des vérifications de reconnaissance de modèle comme méthode de recherche de virus.
  • Le cheval de Troie GoldenSpy n'initiera pas le contact avec le réseau utilisé par le logiciel fiscal. Plutôt que d'initier une connexion à une infrastructure utilisée par le malware. Il utilise une balise aléatoire qui est utilisée pour échapper à la détection du réseau.
  • Le cheval de Troie GoldenSpy a la capacité d'effectuer des modifications système étendues. Cela signifie qu'il peut modifier les valeurs du Registre Windows, fichiers de configuration et options de démarrage importants afin de rendre très difficile l'identification de la menace.

En ce moment, on ne sait pas si le cheval de Troie GoldenSpy est l'œuvre du gouvernement de l'État, les banques ou les pirates ont violé le logiciel et inséré le code du malware. Nous espérons que plus d'informations seront publiées dès que de plus en plus de fournisseurs et d'entreprises seront informés. Une demande de commentaires a été envoyée à l'institution financière qui s'est avérée distribuer le cheval de Troie.

avatar

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages - Site Internet

Suivez-moi:
GazouillementGoogle Plus

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...