Huis > Cyber ​​Nieuws > GoldenSpy Trojan geïnstalleerd via legitieme Chinese belastingaanvraag
CYBER NEWS

GoldenSpy Trojan geïnstalleerd via legitieme Chinese belastingtoepassing

door   |  Last Update:  |  0 Reacties  

De distributie van de GoldenSpy Trojan, een prominente malware voor externe toegang, is gevonden gebruikers te infecteren via een legitieme Chinese belastingaanvraag. Het lijkt erop dat de viruscode vanuit de software is gebundeld en deel uitmaakt van de vereiste software-installatie.




Legitieme Chinese belastingtoepassingen die worden gebruikt om de GoldenSpy-trojan te implementeren

Een nieuw gedetecteerde malware die bekend staat als de Goldenspy Trojan wordt geleverd via een Chinese belasting softwarebundel. De ontdekking werd gedaan op de werkstations van het bedrijf van twee technologie- en softwareleveranciers die in het VK zijn geregistreerd, samen met een grote financiële instelling (er wordt op dit moment geen naam gegeven) die onlangs hun eigen kantoren in China hebben geopend. Deze bedrijven hebben contact opgenomen met een cybersecuritybedrijf als onderdeel van hun setup-activiteiten. Tijdens de controle bleek dat verdachte code werd gevonden in hun belastingsoftware.

Bij verder onderzoek naar de zaak bleek dat dit programma een vereiste was voor de bedrijven om gebruikt te worden door hun Chinese banken. De bedrijven verklaarden dat deze software deel uitmaakte van hun onboardingpakket dat door de bank werd uitgegeven toen ze hun filialen openden. De applicatie wordt gebruikt om lokale belastingen te betalen aan de overheid. Maar bij een diepere blik lijkt het erop dat deze verdachte code eigenlijk malware is, de zogenaamde GoldenSpy Trojan.

Verwant: [wplinkpreview url =”https://sensorstechforum.com/lucifer-malware-windows/ “]Zelfvermeerderende Lucifer-malware tegen Windows-computers

Goldespy Trojan-activiteit: Verborgen in zicht

De GoldenSpy Trojan wordt beschreven als een toegang Trojan op afstand die bij levering aan de doelsystemen verkrijgt bevoegdheden op SYSTEEM-niveau. Dit betekent dat het in staat is om lokale opdrachten te starten met beheerdersrechten, bewerk belangrijke instellingen en implementeer ook andere toepassingen, inclusief malware. Afgezien van de klassieker functies voor toegang op afstand waardoor de criminelen de controle over de geïnfecteerde hosts kunnen overnemen, zijn er enkele verschillende kenmerken die niet worden gevonden in andere vergelijkbare bedreigingen:

  • De GoldenSpy Trojan wordt geïnstalleerd twee versies van zichzelf en laat ze draaien wanneer de computer opstart. Als een van hen om de een of andere reden wordt gestopt, neemt de andere de controle over. Dit is ook handig omdat de actieve Trojaanse instantie het bestand constant zal beschermen tegen verwijdering. Als een van de belangrijkste malwarebestanden van het systeem wordt verwijderd, wordt een nieuwere versie opgehaald van een externe server.
  • De achterdeurcode blijft in het systeem geïnstalleerd, zelfs als het softwareprogramma voor de belasting van de vervoerder wordt verwijderd.
  • De GoldenSpy Trojan is vertraagd geïnstalleerd. Dit wordt gedaan om de aanwezigheid ervan te verbergen voor beheerders en beveiligingstools die patroonherkenningscontroles uitvoeren als hun methode voor het scannen op virussen.
  • De GoldenSpy Trojan zal geen contact maken met het netwerk dat wordt gebruikt door de belastingsoftware. In plaats van een verbinding tot stand te brengen met een infrastructuur die door de malware wordt gebruikt. Het gebruikt een gerandomiseerd baken dat wordt gebruikt om netwerkdetectie te omzeilen.
  • De GoldenSpy Trojan heeft de mogelijkheid om uitgebreide systeemwijzigingen door te voeren. Dit betekent dat het Windows-registerwaarden kan bewerken, belangrijke configuratiebestanden en opstartopties om het erg moeilijk te maken om de bedreiging te identificeren.

Op dit moment is het niet bekend of de GoldenSpy Trojan het werk is van de deelstaatregering, de banken of de hackers hebben de software geschonden en de malwarecode ingevoegd. We verwachten dat binnenkort meer informatie zal worden gepubliceerd naarmate meer en meer leveranciers en bedrijven op de hoogte worden gebracht. Er is een verzoek om commentaar gestuurd naar de financiële instelling waarvan is vastgesteld dat zij de Trojan verspreidt.

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten

Volg mij:
Tjilpen

Gerelateerde berichten:
  1. Gov Tax Info Browser Kaper – gids van de Verwijdering Gov Tax Info is een programma dat is geclassificeerd als browserkaper....
  2. Verwijder "File decryptie Help" Chinese Ransomware en Herstel de .txt vergrendelde bestanden Shujin ransomware, volledig in het Chinees geschreven is gemeld op ...
  3. Locky Ransomware uitgebracht in Nieuwe Chinese Variant A Chinese version of Locky ransomware has been detected by...
  4. Microsoft Office 365 Gebruikers die zijn gericht op malware SLK-bestanden Microsoft Office 365 users are the newest victims of a...
  5. Pre-Installed Android.Triada.231 Trojan geleverd met Chinese Devices Security researchers have stumbled upon pre-installed malware and spyware on...
  6. Pas op voor phishing campagnes Tijdens Aangifte Seizoen Phishing is a major cyber threat that endangers not only...
  7. Het Vaticaan is mogelijk gehackt door ervaren Chinese hackers Het Vaticaan heeft geleden onder een hackeraanval, the state’s...
  8. De Chinese Firewall aan het begin van VPN's China verandert de Grote Muur officieel in de Grote...

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens