junio 20, 2021

El malware oculto en el software chino es más amplio de lo que crees

Imagen de uno y ceros con la palabra

Hace tres semanas, los investigadores de seguridad descubrieron un siniestro malware que acechaba en el software fiscal que el gobierno chino exige que las empresas instalen. Ahora hay evidencia de que la campaña de espionaje altamente invisible fue precedida por un malware separado que utilizó métodos igualmente sofisticados para infectar a los contribuyentes en China.

GoldenHelper, como investigadores de la firma de seguridad Trustwave han denominado el malware, se escondió dentro del software Golden Facturación Fiscal, que todas las compañías registradas en China están acusadas de utilizar para pagar el impuesto al valor agregado. El malware puede omitir el control de la cuenta de usuario, el mecanismo de Windows que requiere que los usuarios den su aprobación antes de que el software pueda instalar programas o realizar otros cambios en el sistema. Después de eso, GoldenSpy puede instalar módulos con privilegios de nivel de sistema. Trustwave publicó sus resultados el martes aquí.

GoldenHelper usa otros trucos para ocultar su comportamiento malicioso y evadir la detección por parte de sistemas y software de protección de punto final. Los trucos incluyen:

  • Nombres de archivos generados aleatoriamente
  • Marcas de tiempo de «creación» y «última escritura» generadas aleatoriamente
  • Intente descargar archivos ejecutables utilizando nombres de archivo falsos con extensiones como .gif, .jpg y .zip
  • Lógica codificada que utiliza datos de búsqueda de dominio para controlar ubicaciones de descarga, contenido descargado y ubicación de contenido
  • Uso de un algoritmo de generación de dominio basado en IP para cambiar las posiciones del servidor de comandos sobre la marcha

En algunos casos, los bancos implementan el software Golden Tax como sistemas autónomos. Trustwave dijo que había descubierto informes de varias personas que afirmaban haber recibido computadoras con Windows 7 Home Edition que habían preinstalado el software de impuestos y el GoldenHelper oculto.

El descubrimiento se produjo tres semanas después de que Trustwave expusiera a GoldenSpy, un grupo de investigadores avanzados en software espía que encontraron instalado en la red de una gran compañía tecnológica multinacional que acababa de abrir oficinas en China. Al igual que GoldenHelper, GoldenSpy utilizó el mismo modus operandi de instalación a través del Proyecto Golden Tax.

Trustwave dijo que GoldenSpy estuvo activo desde abril hasta el mes pasado, cuando la campaña se cerró repentinamente luego del informe de la compañía de seguridad. GoldenHelper se ejecutó desde enero de 2018 hasta julio de 2019, un hallazgo que muestra que el software fiscal ha alojado malware durante más tiempo del que se conocía anteriormente. GoldenHelper se firmó digitalmente utilizando un certificado de confianza de Windows emitido a NouNou Technologies, una subsidiaria de Aisino Corporation, la misma compañía responsable del software de impuestos con el malware GoldenSpy incorporado.

El software de impuestos que alberga GoldenHelper fue producido por una compañía conocida como Baiwang. Baiwang y Aisino son los dos únicos proveedores oficiales de sistemas de facturación. El último descubrimiento muestra que GoldenSpy no fue una campaña única, sino que usó al menos otro malware en un período de tiempo más largo de lo que se sabía anteriormente.

No está claro por qué GoldenHelper se cerró tan abruptamente. Una hipótesis es que sus operadores abandonaron el proyecto después de que aumentaron las tasas de detección, de alrededor de tres en enero de 2019 a 29 en marzo. La siguiente es una línea de tiempo que rastrea el historial de malware:

Trustwave

A diferencia de la encuesta GoldenSpy, los investigadores de Trustwave aún no han encontrado muestras de la carga útil final instalada por GoldenHelper. El nombre del archivo es taxver.exe. Trustwave le pide a cualquiera que pueda proporcionar una muestra que se comunique con los investigadores en goldenspy@trustwave.com.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *