Il malware GoldenSpy trovato su un kit software utilizza per pagare le tasse locali in Cina

Una banca cinese ha costretto almeno due società occidentali – un fornitore di software e un importante istituto finanziario – a distribuire software fiscale basato sui malware sui propri sistemi, ha affermato una recente pubblicazione di Trustwave cyber-security. Secondo essa, queste due aziende hanno recentemente aperto uffici in Cina.

La società di sicurezza informatica ha inoltre spiegato nella discussione con il proprio cliente che hanno rivelato un “malware” che fa parte del software fiscale richiesto nella banca cinese. Questo malware si è rivelato essere un kit software prodotto da Golden Tax Department di Aisino Corporation per il pagamento delle tasse locali.

La società di sicurezza ha affermato che questo kit software include una backdoor – GoldenSpy. Questo malware funziona con accesso a livello di sistema. Consente agli aggressori di controllare a distanza il dispositivo di destinazione e di eseguire comandi di Windows o altre importanti applicazioni al suo interno.

Al giorno d’oggi, molti tipi di software dispongono di funzionalità di accesso remoto necessarie per i servizi di debug. Tuttavia, in questo caso, come riportato come Trustwave, queste funzionalità non hanno trovato alcun uso legale altrove e sono più comunemente utilizzate come malware.

Si dice che il malware abbia due versioni che girano su autoinstall. Inoltre, ha un exprotector che traccia una delle due installazioni per la loro eliminazione. Installa una nuova versione dopo la loro rimozione. E lì, è difficile eliminare questi file. Il malware rimane all’interno, funzionando come backdoor aperta, anche dopo la disinstallazione del kit software.

Un’altra attività sospetta di GoldenSpy, come riportato dalla società, è che si intromette nel dispositivo dopo due ore trascorse dal processo di installazione del software fiscale completato, il che è abbastanza insolito. Come altri RAT, il malware mostra segni e sintomi come notifiche per il suo ingresso. Inoltre, GoldenSpy è collegato a un dominio ningzhidata.com per ospitare altre varianti del malware e con comportamenti simili.

La società di sicurezza non è stata in grado di determinare in che modo penetrare questo malware e non è stato in grado di confermare se gli hacker del governo cinese hanno creato questo software o se è stato incorporato da alcuni impiegati delle banche rosse o se è stato costruito da Aisino Corporation. Inoltre, non è stato ancora confermato se l’Intelligence cinese pressioni la banca per aggiungere il malware al loro software ufficiale.