O malware GoldenSpy encontrado em um kit de software usa para pagar impostos locais na China

O banco chinês obrigou pelo menos duas empresas ocidentais – uma fornecedora de software e uma grande instituição financeira – a implantar software tributário imposto por malware em seus sistemas, afirmou uma publicação recente da cibersegurança da Trustwave. Segundo ele, essas duas empresas estabeleceram escritórios na China recentemente.

A empresa de cibersegurança explicou ainda na discussão com seu cliente que eles revelaram um “malware” que faz parte do software tributário exigido no banco chinês. Esse malware acabou sendo um kit de software produzido pelo Departamento de Impostos Dourados da Aisino Corporation para o pagamento de impostos locais.

A empresa de segurança alegou que este kit de software inclui um backdoor – GoldenSpy. Esse malware é executado com acesso no nível do sistema. Ele permite que os atacantes controlem remotamente o dispositivo de destino e executem comandos do Windows ou outros aplicativos importantes dentro dele.

Atualmente, muitos tipos de software possuem recursos de acesso remoto necessários para os serviços de depuração. No entanto, nesse caso, conforme relatado como Trustwave, esses recursos não encontraram uso legal em nenhum outro lugar e são mais comumente usados ​​como malware.

O malware é relatado como tendo duas versões que são executadas na instalação automática. Além disso, possui um exprotetor que rastreia uma das duas instalações para sua eliminação. Ele instala uma nova versão após sua remoção. E é difícil excluir esses arquivos. O malware permanece dentro, sendo executado como backdoor aberto, mesmo após a desinstalação do kit de software.

Outra atividade suspeita do GoldenSpy, conforme relatado pela empresa, é que ele entra no dispositivo após duas horas do processo de instalação do software fiscal concluído, o que é bastante incomum. Como outros RATs, o malware mostra quaisquer sinais e sintomas como notificações para sua entrada. Além disso, o GoldenSpy está conectado a um domínio ningzhidata.com para hospedar outras variantes do malware e com comportamento semelhante.

A empresa de segurança não conseguiu determinar como esse malware entra nele e também não pôde confirmar se os hackers do governo chinês criaram esse software ou foram incorporados por alguns funcionários do setor bancário ou foram construídos pela Aisino Corporation. Além disso, ainda não foi confirmado se a Inteligência Chinesa pressionará o banco para adicionar o malware ao seu software oficial.