La distribuzione del Trojan GoldenSpy, un importante malware di accesso remoto, è stato riscontrato che infetta gli utenti tramite un'applicazione fiscale cinese legittima. Sembra che il codice del virus sia raggruppato all'interno del software e faccia parte dell'installazione software richiesta.
Legittime applicazioni fiscali cinesi utilizzate per distribuire il GoldenSpy Trojan
Un malware appena rilevato noto come Goldenspy Trojan viene consegnato tramite a Pacchetto software fiscale cinese. La scoperta è stata fatta sulle postazioni di lavoro di due fornitori di tecnologia e software registrati nel Regno Unito insieme a un importante istituto finanziario (nessun nome è dato in questo momento) che hanno recentemente aperto i propri uffici in Cina. Queste società hanno contattato un'azienda di sicurezza informatica nell'ambito delle loro operazioni di installazione. Durante l'audit è stato rivelato che codice sospetto è stato trovato nel loro software fiscale.
A seguito di ulteriori accertamenti sulla questione, è stato rivelato che questo programma era un requisito per le società da utilizzare dalle loro banche cinesi. Le società hanno dichiarato che questo software faceva parte del loro pacchetto di onboarding rilasciato dalla banca quando hanno aperto le loro filiali. L'applicazione è utilizzata per pagare le tasse locali al governo. Tuttavia, osservando più in profondità, sembra che questo codice sospetto sia in realtà un malware chiamato GoldenSpy Trojan.
Attività Trojan Goldespy: Nascosto in vista
Il Trojan GoldenSpy è descritto come a Trojan di accesso remoto che al momento della consegna ai sistemi target ottiene i privilegi a livello di SISTEMA. Ciò significa che è in grado di lanciare comandi locali con privilegi di amministratore, modificare le impostazioni importanti e distribuire anche altre applicazioni, tra cui il malware. Oltre ad avere il classico funzionalità di accesso remoto che consentono ai criminali di assumere il controllo degli host infetti ce ne sono alcuni caratteristiche distinte che non si trovano in altre minacce simili:
- Verrà installato il Trojan GoldenSpy due versioni di se stesso e impostarli per l'esecuzione all'avvio del computer. Se uno di essi viene fermato per qualche motivo, l'altro assumerà il controllo. Ciò è utile anche perché l'istanza Trojan attiva funzionante proteggerà costantemente il suo file dalla cancellazione. Se uno dei file malware principali viene rimosso dal sistema, una versione più recente verrà recuperata da un server remoto.
- Il codice backdoor rimarrà installato nel sistema anche se il programma software fiscale del vettore viene rimosso.
- Il GoldenSpy Trojan è installato in modo ritardato. Questo viene fatto al fine di nascondere la sua presenza agli amministratori e agli strumenti di sicurezza che eseguono controlli di riconoscimento dei modelli come metodo per la ricerca di virus.
- Il Trojan GoldenSpy non avvierà il contatto con la rete utilizzata dal software fiscale. Piuttosto che avvierà una connessione a un'infrastruttura utilizzata dal malware. Utilizza un beacon randomizzato che viene utilizzato per eludere il rilevamento della rete.
- Il Trojan GoldenSpy ha la capacità di effettuare modifiche di sistema estese. Ciò significa che può modificare i valori del registro di Windows, importanti file di configurazione e opzioni di avvio per rendere molto difficile l'identificazione della minaccia.
Al momento non è noto se il Trojan GoldenSpy sia opera del governo statale, le banche o gli hacker hanno violato il software e inserito il codice malware. Prevediamo che presto verranno pubblicate maggiori informazioni man mano che un numero sempre maggiore di venditori e aziende viene messo al corrente. Una richiesta di commento è stata inviata all'istituto finanziario che è stato trovato per distribuire il Trojan.