mayo 13, 2021

El banco chino requiere que una empresa extranjera instale una aplicación oculta de puerta trasera

El banco chino requiere que una empresa extranjera instale una aplicación oculta de puerta trasera

Una gran compañía tecnológica multinacional recibió recientemente una desagradable sorpresa al expandir sus operaciones en China. El software que un banco local requirió que la compañía instalara para pagar los impuestos locales contenía una puerta trasera avanzada.

La historia de advertencia, detallada en un informe publicado el jueves, afirma que el paquete de software, llamado Impuesto Inteligente y producido por Aisino Corporation, con sede en Beijing, funcionó como se anuncia. Detrás de escena, también instaló un programa separado que permitía en secreto a sus creadores ejecutar comandos remotos o software de su elección en la computadora infectada. También fue firmado digitalmente por un certificado confiable de Windows.

Investigadores de Trustwave, la compañía de seguridad que hizo el descubrimiento, apodaron la puerta trasera GoldenSpy. Con los privilegios de nivel de sistema de una computadora con Windows, se conectó a un servidor de control ubicado en ningzhidata[.]com, un dominio que, según los investigadores de Trustwave, es conocido por albergar otras variantes del malware. La puerta trasera incluía una variedad de características avanzadas diseñadas para lograr un acceso profundo, oculto y persistente a las computadoras infectadas.

Según la publicación del jueves, estas características incluyen:

  • GoldenSpy instala dos versiones idénticas de sí mismo, ambas como servicios de inicio automático persistentes. Si alguno deja de funcionar, regenerará su contraparte. Además, utiliza un módulo protector exe que supervisa la eliminación de ambas iteraciones de sí mismo. Si se elimina, descargará y ejecutará una nueva versión. De hecho, esta protección de triple capa hace que sea extremadamente difícil eliminar este archivo de un sistema infectado.
  • La función de desinstalación del software Intelligent Tax no desinstala GoldenSpy. Deje GoldenSpy ejecutándose como una puerta trasera abierta en el entorno, incluso después de que el software de impuestos se haya eliminado por completo.
  • GoldenSpy no se descarga e instala hasta dos horas completas después de que se complete el proceso de instalación del software de impuestos. Cuando finalmente se descarga e instala, lo hace en silencio, sin ninguna notificación en el sistema. Este largo retraso es muy inusual y es un método para esconderse del aviso de la víctima.
  • GoldenSpy no se pone en contacto con la infraestructura de red del software fiscal (i-Xinnuo[.]com)más bien alcanza ningzhidata[.]com, un dominio conocido por alojar otras variantes del malware GoldenSpy. Después de los primeros tres intentos de contactar a su servidor de comando y control, aleatoriza el tiempo de las balizas. Este es un método conocido para evitar las tecnologías de seguridad de red diseñadas para identificar el malware de balizamiento.
  • GoldenSpy opera con privilegios de nivel de SISTEMA, lo que lo hace extremadamente peligroso y capaz de ejecutar cualquier software en el sistema. Esto incluye malware adicional o herramientas administrativas de Windows para realizar reconocimientos, crear nuevos usuarios, intensificar privilegios, etc.

La publicación del jueves dice que los analistas de la amenaza Trustwave han identificado «actividades similares» en una segunda compañía, pero no tienen muchos otros detalles. La compañía de seguridad encontró variantes de GoldenSpy que datan de finales de 2016, pero la primera indicación de que la puerta trasera se usó realmente en la naturaleza es en abril, cuando comenzó la campaña contra la compañía de tecnología. Los investigadores aún no conocen el alcance, el propósito o los actores detrás de la amenaza. Trustwave no ha identificado las dos compañías que se reunieron con GoldenSpy o el banco local chino que solicitó la instalación de Intelligent Tax. Los representantes de Aisino Corporation no respondieron de inmediato a un correo electrónico en busca de comentarios para esta publicación.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *