De distributie van de GoldenSpy Trojan, een prominente malware voor externe toegang, is gevonden gebruikers te infecteren via een legitieme Chinese belastingaanvraag. Het lijkt erop dat de viruscode vanuit de software is gebundeld en deel uitmaakt van de vereiste software-installatie.
Legitieme Chinese belastingtoepassingen die worden gebruikt om de GoldenSpy-trojan te implementeren
Een nieuw gedetecteerde malware die bekend staat als de Goldenspy Trojan wordt geleverd via een Chinese belasting softwarebundel. De ontdekking werd gedaan op de werkstations van het bedrijf van twee technologie- en softwareleveranciers die in het VK zijn geregistreerd, samen met een grote financiële instelling (er wordt op dit moment geen naam gegeven) die onlangs hun eigen kantoren in China hebben geopend. Deze bedrijven hebben contact opgenomen met een cybersecuritybedrijf als onderdeel van hun setup-activiteiten. Tijdens de controle bleek dat verdachte code werd gevonden in hun belastingsoftware.
Bij verder onderzoek naar de zaak bleek dat dit programma een vereiste was voor de bedrijven om gebruikt te worden door hun Chinese banken. De bedrijven verklaarden dat deze software deel uitmaakte van hun onboardingpakket dat door de bank werd uitgegeven toen ze hun filialen openden. De applicatie wordt gebruikt om lokale belastingen te betalen aan de overheid. Maar bij een diepere blik lijkt het erop dat deze verdachte code eigenlijk malware is, de zogenaamde GoldenSpy Trojan.
Goldespy Trojan-activiteit: Verborgen in zicht
De GoldenSpy Trojan wordt beschreven als een toegang Trojan op afstand die bij levering aan de doelsystemen verkrijgt bevoegdheden op SYSTEEM-niveau. Dit betekent dat het in staat is om lokale opdrachten te starten met beheerdersrechten, bewerk belangrijke instellingen en implementeer ook andere toepassingen, inclusief malware. Afgezien van de klassieker functies voor toegang op afstand waardoor de criminelen de controle over de geïnfecteerde hosts kunnen overnemen, zijn er enkele verschillende kenmerken die niet worden gevonden in andere vergelijkbare bedreigingen:
- De GoldenSpy Trojan wordt geïnstalleerd twee versies van zichzelf en laat ze draaien wanneer de computer opstart. Als een van hen om de een of andere reden wordt gestopt, neemt de andere de controle over. Dit is ook handig omdat de actieve Trojaanse instantie het bestand constant zal beschermen tegen verwijdering. Als een van de belangrijkste malwarebestanden van het systeem wordt verwijderd, wordt een nieuwere versie opgehaald van een externe server.
- De achterdeurcode blijft in het systeem geïnstalleerd, zelfs als het softwareprogramma voor de belasting van de vervoerder wordt verwijderd.
- De GoldenSpy Trojan is vertraagd geïnstalleerd. Dit wordt gedaan om de aanwezigheid ervan te verbergen voor beheerders en beveiligingstools die patroonherkenningscontroles uitvoeren als hun methode voor het scannen op virussen.
- De GoldenSpy Trojan zal geen contact maken met het netwerk dat wordt gebruikt door de belastingsoftware. In plaats van een verbinding tot stand te brengen met een infrastructuur die door de malware wordt gebruikt. Het gebruikt een gerandomiseerd baken dat wordt gebruikt om netwerkdetectie te omzeilen.
- De GoldenSpy Trojan heeft de mogelijkheid om uitgebreide systeemwijzigingen door te voeren. Dit betekent dat het Windows-registerwaarden kan bewerken, belangrijke configuratiebestanden en opstartopties om het erg moeilijk te maken om de bedreiging te identificeren.
Op dit moment is het niet bekend of de GoldenSpy Trojan het werk is van de deelstaatregering, de banken of de hackers hebben de software geschonden en de malwarecode ingevoegd. We verwachten dat binnenkort meer informatie zal worden gepubliceerd naarmate meer en meer leveranciers en bedrijven op de hoogte worden gebracht. Er is een verzoek om commentaar gestuurd naar de financiële instelling waarvan is vastgesteld dat zij de Trojan verspreidt.