El banco chino obligó a las empresas occidentales a instalar application de impuestos con malware


Un banco chino ha obligado a al menos dos empresas occidentales a instalar computer software de impuestos con malware en sus sistemas, dijo la firma de ciberseguridad Trustwave en un informe publicado hoy.

Las dos compañías son un proveedor de tecnología / software con sede en el Reino Unido y una importante institución financiera, que recientemente habían abierto oficinas en China.

«Las conversaciones con nuestro cliente revelaron que (el malware) era parte del computer software de impuestos requerido de su banco», dijo Trustwave hoy.

«Nos informaron que al abrir operaciones en China, su banco local chino requería que instalaran un paquete de software llamado Impuesto Inteligente producido por el Departamento de Impuestos Dorados de la Corporación Aisino, para pagar los impuestos locales».

La puerta trasera «GoldenSpy»

Trustwave, que proporcionaba servicios de seguridad cibernética para el proveedor de program del Reino Unido, dijo que identificó el malware después de observar solicitudes de crimson sospechosas que originaban la pink de su cliente.

En un informe publicado hoy, Trustwave dijo que analizó el software de impuestos del banco. Turstwave dijo que el application funcionó según lo anunciado, permitiendo a sus clientes pagar impuestos locales, pero que también instaló una puerta trasera oculta.

La empresa de seguridad dice que esta puerta trasera, que Trustwave denominó en código GoldenSpy y dijo que funcionaba con acceso de nivel Technique, permitía que un atacante remoto se conectara al sistema infectado y ejecutara comandos de Home windows, o cargara e instalara otro computer software.

Pero muchos tipos de program tienen características de acceso remoto para servicios de depuración. Sin embargo, Trustwave dijo que también identificó características que se encuentran más comúnmente en el malware y que no tienen usos legítimos en ningún otro lugar. Por ejemplo:

  • GoldenSpy instala dos versiones idénticas de sí mismo, ambas como servicios de inicio automático persistentes. Si cualquiera deja de funcionar, reaparecerá su contraparte. Además, utiliza un módulo exeprotector que supervisa la eliminación de cualquier iteración de sí mismo. Si se elimina, descargará y ejecutará una nueva versión. Efectivamente, esta protección de triple capa hace que sea extremadamente difícil eliminar este archivo de un sistema infectado.
  • La función de desinstalación del application Smart Tax no desinstalará GoldenSpy. Deja que GoldenSpy se ejecute como una puerta trasera abierta en el entorno, incluso después de que el program de impuestos se haya eliminado por completo.
  • GoldenSpy no se descarga e instala hasta dos horas completas después de que se completa el proceso de instalación del program de impuestos. Cuando finalmente se descarga e instala, lo hace en silencio, sin notificación en el sistema. Este largo retraso es muy inusual y es un método para esconderse del aviso de la víctima.
  • GoldenSpy no se pone en contacto con la infraestructura de red del software package fiscal (i-xinnuo (.) com), más bien llega a ningzhidata (.) com, un dominio conocido por albergar otras variaciones del malware GoldenSpy. Después de los primeros tres intentos de contactar a su servidor de comando y manage, aleatoriza los tiempos de baliza. Este es un método conocido para evitar las tecnologías de seguridad de crimson diseñadas para identificar el malware de balizamiento.
  • GoldenSpy opera con privilegios de nivel de SISTEMA, lo que lo hace altamente peligroso y capaz de ejecutar cualquier software program en el sistema. Esto incluye malware adicional o herramientas administrativas de Home windows para realizar reconocimientos, crear nuevos usuarios, escalar privilegios, and so on.

¿Piratas informáticos estatales o información maliciosa?

Pero a pesar de detectar la puerta trasera oculta dentro del application inteligente de impuestos Aisino, Trustwave no pudo determinar cómo llegó allí.

Trustwave dijo que no pudo determinar si la puerta trasera fue desarrollada por piratas informáticos del gobierno de China, agregada en secreto por uno de los empleados corruptos del banco o creada por alguien de Aisino Company.

Tampoco estaba claro si la inteligencia china podría haber forzado al banco o a la Corporación Aisino a agregar el malware a su software package oficial para poder espiar a una empresa extranjera, o si este fue un incidente donde los piratas informáticos estaban puramente interesados ​​en su propio beneficio financiero.

Pero mientras algunas preguntas permanecen sin respuesta, mientras tanto, Trustwave está sonando la alarma para cualquier otra empresa que haga negocios en China que haya instalado el mismo software program.

«Creemos que todas las corporaciones que operan en China o usan el software package inteligente de impuestos Aisino deberían considerar este incidente como una amenaza potencial y deberían involucrarse en la búsqueda de amenazas, contención y contramedidas de reparación, como se explain en nuestro informe técnico«, Dijo Trustwave.

Trustwave no nombró al banco. ZDNet ha enviado a Aisino Company una solicitud de comentarios sobre los hallazgos de Trustwave y los actualizaremos si el proveedor de computer software make a decision responder.



Enlace a la noticia primary