Pular para a barra de ferramentas
Tecnologia

Banco chinês exige que empresa estrangeira instale aplicativo com backdoor secreto

Uma grande empresa multinacional de tecnologia recebeu uma surpresa repugnante recentemente ao expandir suas operações para a China. O software que um banco lugar exigia que a empresa instalasse para remunerar impostos locais continha um backdoor avançado.

A história de recado, detalhada em um relatório publicado quinta-feira, disse que o pacote de software, chamado Intelligent Tax e produzido pela Aisino Corporation, com sede em Pequim, funcionava {como} anunciado. Nos bastidores, da mesma forma instalou um programa separado que secretamente permitia que seus criadores executassem remotamente comandos ou software de sua escolha no computador infectado. Da mesma forma foi assinado digitalmente por um certificado confiável do Windows.

Pesquisadores da Trustwave, empresa de segurança que fez a invenção, apelidaram de backdoor GoldenSpy. Com privilégios no nível do sistema para um computador Windows, ele se conectava a um servidor de controle localizado em ningzhidata[.]com, um domínio que os pesquisadores da Trustwave disseram que é sabido por hospedar outras variações do malware. O backdoor incluía uma variedade de recursos avançados projetados para obter chegada profundo, encoberto e persistente aos computadores infectados.

De conciliação com a publicação de quinta-feira, esses recursos incluem:

O GoldenSpy instala duas versões idênticas de si mesmo, ambos {como} serviços de início automático persistente. Se um deles parar de funcionar, ele reaparecerá sua contraparte. Além do que, utiliza um módulo protetor de exe que monitora a exclusão de qualquer iteração de si mesma. Se excluído, ele fará o download e executará uma nova versão. Efetivamente, essa proteção de estrato tripla torna extremamente difícil remover esse registo de um sistema infectado.
O recurso de desinstalação do software Intelligent Tax não desinstalará o GoldenSpy. Ele deixa o GoldenSpy funcionando {como} um backdoor {aberto} para o {ambiente}, mesmo em seguida a remoção completa do software tributário.
O GoldenSpy não é baixado e instalado até duas horas completas em seguida a desfecho do processo de instalação do software fiscal. Quando finalmente baixa e instala, o faz silenciosamente, sem notificação no sistema. Esse longo delongado é altamente incomum e um método para ocultar o aviso da vítima.
O GoldenSpy não entra em contato com a infraestrutura de rede do software fiscal (i-xinnuo[.]com), em vez disso, chega a ningzhidata[.]com, um domínio sabido por hospedar outras variações do malware GoldenSpy. Em seguida as três primeiras tentativas de contatar seu servidor de comando e controle, ele seleciona aleatoriamente os tempos dos beacon. Esse é um método sabido para evitar tecnologias de segurança de rede projetadas para identificar malware de beacon.
O GoldenSpy opera com privilégios no nível do SISTEMA, tornando-o altamente perigoso e capaz de executar qualquer software no sistema. Isso inclui malware suplementar ou ferramentas administrativas do Windows para realizar reconhecimento, fabricar novos usuários, aumentar privilégios etc.

A publicação de quinta-feira disse que os analistas de ameaças da Trustwave identificaram “operosidade semelhante” em uma segunda empresa, porém não têm muitos outros detalhes. A empresa de segurança encontrou variações do GoldenSpy que datam do final de 2016, porém a primeira indicação de que o backdoor foi realmente usado na natureza é em abril, quando a campanha contra a empresa de tecnologia começou. Os pesquisadores ainda não sabem o escopo, o finalidade ou os atores por trás da ameaço. A Trustwave não identificou as duas empresas que encontraram o GoldenSpy ou o banco chinês lugar que exigia a instalação do Imposto Inteligente. Os representantes da Aisino Corporation não responderam imediatamente a um e-mail solicitando comentários para esta postagem.

Deixe uma resposta

Fechar
Fechar