El malware GoldenSpy encontrado en un kit de software utiliza para pagar impuestos locales en China

El banco chino obligó a al menos dos empresas occidentales, un vendedor de software y una importante institución financiera, a desplegar software de impuestos establecido en sus sistemas, afirmó una publicación reciente de ciberseguridad de Trustwave. Según él, estas dos empresas han establecido recientemente oficinas en China.

La firma de seguridad cibernética explicó además en la discusión con su cliente que revelaron un “malware” que es parte del software de impuestos requerido en el banco chino. Este malware resultó ser un kit de software producido por el Golden Tax Department de Aisino Corporation para pagar impuestos locales.

La firma de seguridad afirmó que este kit de software incluye una puerta trasera: GoldenSpy. Este malware se ejecuta con acceso a nivel de sistema. Permite a los atacantes un control remoto sobre el dispositivo objetivo y ejecutar comandos de Windows u otras aplicaciones importantes dentro de él.

Hoy en día, muchos tipos de software tienen funciones de acceso remoto que son necesarias para los servicios de depuración. Sin embargo, en este caso, según lo informado como Trustwave, estas características no han encontrado uso legal en ningún otro lugar y se usan más comúnmente como malware.

Se informa que el malware tiene dos versiones que se ejecutan en la instalación automática. Además, tiene un exprotector que rastrea cualquiera de las dos instalaciones para su eliminación. Instala una nueva versión después de su eliminación. Y allí, es difícil eliminar estos archivos. El malware permanece dentro, ejecutándose como puerta trasera abierta, incluso después de la desinstalación del kit de software.

Otra actividad sospechosa de GoldenSpy, según lo informado por la empresa, es que se entromete en el dispositivo después de que pasaron dos horas del proceso de instalación del software de impuestos completado, lo cual es bastante inusual. Al igual que otras RAT, el malware muestra signos y síntomas como notificaciones para su entrada. Además de esto, GoldenSpy está conectado a un dominio ningzhidata.com para alojar otras variantes del malware y con un comportamiento similar.

La empresa de seguridad no pudo determinar cómo entra este malware y tampoco pudo confirmar si los piratas informáticos del gobierno chino han creado este software o si ha sido incorporado por algunos empleados bancarios de puertas rojas, o si ha sido construido por Aisino Corporation. Además, aún no se ha confirmado si la inteligencia china presiona al banco para que agregue el malware a su software oficial.