GoldenSpyトロイの木馬の配布, 著名なリモートアクセスマルウェア, 正当な中国の税務申請を通じてユーザーに感染することが判明しました. ウイルスコードはソフトウェア内からバンドルされており、必要なソフトウェアインストールの一部になっているようです。.
GoldenSpyトロイの木馬の配備に使用される合法的な中国の税務アプリケーション
新たに検出されたマルウェアとして知られる Goldenspyトロイの木馬 を通じて配信されています 中国の税務ソフトウェアバンドル. この発見は、主要な金融機関とともに英国で登録された2つのテクノロジーおよびソフトウェアベンダーの会社のワークステーションで行われました。 (現時点では名前はありません) 最近中国に事務所を開設した. これらの企業は、セットアップ業務の一環としてサイバーセキュリティ企業に連絡を取りました. 監査中に、次のことが明らかになりました 税務ソフトウェアで疑わしいコードが見つかりました.
この問題をさらに調査したところ、このプログラムは中国の銀行が企業を利用するための要件であることが明らかになりました。. 両社は、このソフトウェアは、支店を開設したときに銀行が発行したオンボーディングパッケージの一部であると述べています。. アプリケーションは、政府に地方税を支払うために使用されます. ただし、詳しく調べてみると、この疑わしいコードは実際には GoldenSpyトロイの木馬.
Goldespyトロイの木馬の活動: 見えないところに隠されている
GoldenSpyトロイの木馬は、 リモートアクセストロイの木馬 ターゲットシステムに配信されると システムレベルの特権を取得します. これは、管理者権限でローカルコマンドを起動できることを意味します, 重要な設定を編集し、他のアプリケーションもデプロイします, マルウェアを含む. クラシックを持っていることは別として リモートアクセス機能 犯罪者が感染したホストの制御を引き継ぐことを可能にします 特徴的な機能 他の同様の脅威には見られない:
- GoldenSpyトロイの木馬がインストールされます それ自体の2つのバージョン コンピュータの起動時に実行するように設定します. それらの1つが何らかの理由で停止した場合、もう1つが制御を引き継ぎます. これは、アクティブに動作しているトロイの木馬インスタンスが常にファイルを削除から保護するためにも役立ちます。. コアマルウェアファイルの1つがシステムから削除されると、リモートサーバーから新しいバージョンが取得されます.
- 運送業者税ソフトウェアプログラムが削除されても、バックドアコードはシステムにインストールされたままになります.
- GoldenSpyトロイの木馬は 遅れて設置. これは、ウイルスをスキャンする方法としてパターン認識チェックを実行する管理者やセキュリティツールからその存在を隠すために行われます。.
- GoldenSpyトロイの木馬は、税務ソフトウェアが使用するネットワークとの接触を開始しません. マルウェアが使用するインフラストラクチャへの接続を開始するのではなく. ネットワーク検出を回避するために使用されるランダム化されたビーコンを使用します.
- GoldenSpyトロイの木馬には、広範なシステム変更を実行する機能があります. これは、Windowsレジストリ値を編集できることを意味します, 脅威の特定を非常に困難にするための重要な構成ファイルと起動オプション.
現時点では、GoldenSpyトロイの木馬が州政府の仕事であるかどうかは不明です。, 銀行またはハッカーがソフトウェアを侵害し、マルウェアコードを挿入しました. ますます多くのベンダーや企業が認識されるようになると、より多くの情報がすぐに公開されることを期待しています。. トロイの木馬を配布していることが判明した金融機関にコメントのリクエストが送信されました.