Un malware GoldenSpy trouvé sur un kit logiciel utilise pour payer les taxes locales en Chine

Une banque chinoise a contraint au moins deux sociétés occidentales – un fournisseur de logiciels et une grande institution financière – à déployer des logiciels fiscaux malveillants sur leurs systèmes, selon une récente publication de Trustwave cyber-security. Selon elle, ces deux entreprises ont récemment ouvert des bureaux en Chine.

La firme de cybersécurité a en outre expliqué lors de la discussion avec son client qu’elle avait révélé un «malware» qui fait partie du logiciel fiscal requis par la banque chinoise. Ce malware s’est avéré être un kit logiciel produit par Golden Tax Department de Aisino Corporation pour payer les taxes locales.

La firme de sécurité a affirmé que ce kit logiciel comprend une porte dérobée – GoldenSpy. Ce malware s’exécute avec un accès au niveau du système. Il permet aux attaquants de contrôler à distance le périphérique ciblé et d’exécuter des commandes Windows ou d’autres applications importantes à l’intérieur.

De nos jours, de nombreux types de logiciels ont des fonctionnalités d’accès à distance qui sont nécessaires pour les services de débogage. Cependant, dans ce cas, tel que rapporté par Trustwave, ces fonctionnalités n’ont trouvé aucune utilisation légale ailleurs et sont le plus souvent utilisées comme logiciels malveillants.

Le logiciel malveillant aurait deux versions qui s’exécutent sur l’installation automatique. De plus, il dispose d’un exprotecteur qui suit l’une ou l’autre des deux installations pour leur élimination. Il installe une nouvelle version après leur suppression. Et là, il est difficile de supprimer ces fichiers. Le malware reste à l’intérieur, fonctionnant comme une porte dérobée ouverte, même après la désinstallation du kit logiciel.

Une autre activité suspecte de GoldenSpy, telle que rapportée par la firme, est qu’elle s’immisce dans l’appareil après deux heures après la fin du processus d’installation du logiciel fiscal, ce qui est assez inhabituel. Comme les autres RAT, le malware montre des signes et des symptômes sous forme de notifications pour son entrée. En plus de cela, GoldenSpy est connecté à un domaine ningzhidata.com pour héberger d’autres variantes du malware et avec un comportement similaire.

La société de sécurité n’a pas pu déterminer comment ce logiciel malveillant pénétrait à l’intérieur et n’a pas non plus pu confirmer si les pirates du gouvernement chinois ont créé ce logiciel ou s’il a été incorporé par certains employés de la banque aux portes rouges, ou s’il a été construit par Aisino Corporation. De plus, il reste à confirmer si Chinese Intelligence fait pression sur la banque pour ajouter le malware à son logiciel officiel.