Die in einem Software-Kit enthaltene GoldenSpy-Malware wird zur Zahlung lokaler Steuern in China verwendet

Laut einer kürzlich von Trustwave Cyber-Security veröffentlichten Veröffentlichung hat die chinesische Bank mindestens zwei westliche Unternehmen – einen Software-Anbieter und ein großes Finanzinstitut – gezwungen, auf Malware basierende Steuersoftware auf ihren Systemen bereitzustellen. Demnach haben diese beiden Firmen kürzlich Büros in China eröffnet.

Die Cyber-Sicherheitsfirma erklärte in der Diskussion mit ihrem Kunden weiter, dass sie eine „Malware“ aufgedeckt habe, die Teil der von der chinesischen Bank benötigten Steuersoftware ist. Es stellte sich heraus, dass es sich bei dieser Malware um ein Software-Kit handelt, das von der Golden Tax Department der Aisino Corporation zur Zahlung lokaler Steuern erstellt wurde.

Die Sicherheitsfirma behauptete, dass dieses Software-Kit eine Hintertür enthält – GoldenSpy. Diese Malware wird mit Zugriff auf Systemebene ausgeführt. Es ermöglicht Angreifern die Fernsteuerung des Zielgeräts und die Ausführung von Windows-Befehlen oder wichtigen anderen darin enthaltenen Anwendungen.

Heutzutage verfügen viele Softwaretypen über RAS-Funktionen, die für das Debuggen von Diensten erforderlich sind. In diesem Fall, wie als Trustwave gemeldet, haben diese Funktionen jedoch keine legale Verwendung an anderer Stelle gefunden und werden am häufigsten als Malware verwendet.

Es wird berichtet, dass die Malware zwei Versionen hat, die bei der automatischen Installation ausgeführt werden. Darüber hinaus verfügt es über einen Exprotektor, der eine der beiden Installationen auf ihre Beseitigung hin verfolgt. Nach dem Entfernen wird eine neue Version installiert. Und dort ist es schwierig, diese Dateien zu löschen. Die Malware bleibt im Inneren und wird auch nach der Deinstallation des Software-Kits als offene Hintertür ausgeführt.

Eine weitere verdächtige Aktivität von GoldenSpy, die von der Firma gemeldet wurde, besteht darin, dass sie nach Ablauf von zwei Stunden nach Abschluss der Installation der Steuersoftware in das Gerät eindringt, was recht ungewöhnlich ist. Wie andere RATs zeigt die Malware alle Anzeichen und Symptome als Benachrichtigungen für ihren Eintrag. Darüber hinaus ist GoldenSpy mit einer Domain ningzhidata.com verbunden, um andere Varianten der Malware mit ähnlichem Verhalten zu hosten.

Die Sicherheitsfirma konnte nicht feststellen, wie diese Malware in sie eindringt, und konnte auch nicht bestätigen, ob Hacker der chinesischen Regierung diese Software erstellt haben oder ob sie von einigen Red-Doors-Bankangestellten integriert wurde oder von der Aisino Corporation erstellt wurde. Es muss auch noch bestätigt werden, ob der chinesische Geheimdienst die Bank unter Druck setzt, die Malware zu ihrer offiziellen Software hinzuzufügen.