A distribuição do Trojan GoldenSpy, um malware proeminente de acesso remoto, foi encontrado para infectar usuários por meio de um aplicativo fiscal chinês legítimo. Parece que o código do vírus está incluído no software e faz parte da instalação de software necessária.
Aplicativos fiscais chineses legítimos usados para implantar o Trojan GoldenSpy
Um malware recém-detectado conhecido como Trojan Goldenspy está sendo entregue através de um Pacote de software fiscal chinês. A descoberta foi feita nas estações de trabalho da empresa de dois fornecedores de tecnologia e software registrados no Reino Unido, juntamente com uma importante instituição financeira (nenhum nome é dado neste momento) que abriram recentemente seus próprios escritórios na China. Essas empresas contataram uma empresa de segurança cibernética como parte de suas operações de configuração. Durante a auditoria, foi revelado que código suspeito foi encontrado em seu software fiscal.
Após uma investigação mais aprofundada sobre o assunto, foi revelado que este programa era um requisito para as empresas serem usadas pelos seus bancos chineses. As empresas declararam que esse software fazia parte do pacote de integração emitido pelo banco quando abriram suas agências. O aplicativo é usado para pagar impostos locais ao governo. No entanto, ao examinar mais detalhadamente, parece que esse código suspeito é realmente um malware chamado GoldenSpy Trojan.
Atividade do Trojan Goldespy: Escondido à Vista
O Trojan GoldenSpy é descrito como um Trojan de acesso remoto que, ao serem entregues aos sistemas de destino obtém privilégios no nível do sistema. Isso significa que ele é capaz de ativar comandos locais com privilégios administrativos, editar configurações importantes e também implantar outros aplicativos, incluindo malwares. Além de ter o clássico recursos de acesso remoto que permitem que os criminosos assumam o controle dos hosts infectados, existem alguns características distintas que não são encontrados em outras ameaças semelhantes:
- O Trojan GoldenSpy instalará duas versões de si mesmo e configurá-los para serem executados quando o computador inicializar. Se um deles é parado por algum motivo, o outro assume o controle. Isso também é útil, pois a instância de Trojan ativa em trabalho protegerá constantemente seu arquivo da exclusão. Se um dos principais arquivos de malware for removido do sistema, uma versão mais recente será recuperada de um servidor remoto.
- O código de backdoor permanecerá instalado no sistema, mesmo que o programa de imposto sobre operadora seja removido.
- O Trojan GoldenSpy é instalado de maneira atrasada. Isso é feito para ocultar sua presença de administradores e ferramentas de segurança que executam verificações de reconhecimento de padrões como método de verificação de vírus.
- O Trojan GoldenSpy não iniciará contato com a rede usada pelo software tributário. Em vez disso, iniciará uma conexão com uma infraestrutura usada pelo malware. Ele usa um farol aleatório que é usado para evitar a detecção de rede.
- O Trojan GoldenSpy tem a capacidade de realizar extensas alterações no sistema. Isso significa que ele pode editar os valores do Registro do Windows, arquivos de configuração importantes e opções de inicialização para dificultar a identificação da ameaça.
Neste momento, não se sabe se o Trojan GoldenSpy é obra do governo do estado., os bancos ou os hackers violaram o software e inseriram o código do malware. Esperamos que mais informações sejam publicadas assim que mais e mais fornecedores e empresas forem informados. Uma solicitação de comentário foi enviada à instituição financeira que foi encontrada para distribuir o Trojan.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: