La empresa china de software program Aisino desinstala …


La investigación de seguimiento de sandbox confirma que Aisino sabía sobre el malware en su software program de impuestos, aunque todavía no está claro si fue culpable.

Para aquellos que siguieron la historia de GoldenSpy la semana pasada desde Trustwave, donde el software de impuestos de Aisino, con sede en China, se utilizó como puerta trasera para obtener acceso a las redes de empresas extranjeras que hacen negocios con un banco chino, hay una arruga interesante.

Mientras realizaba una investigación de seguimiento de rutina en una caja de arena después de la divulgación inicial de la semana pasada, los investigadores de Trustwave descubrieron que después de ser descubierto, Aisino envió computer software con una misión en mente: eliminar GoldenSpy con un desinstalador y eliminar cualquier rastro que haya existido.

Brian Hussey, vicepresidente de detección y respuesta de amenazas cibernéticas de Trustwave, dice que este nuevo desarrollo fue significativo porque confirmó para el equipo de investigación que Aisino sabía sobre GoldenSpy y estaba buscando eliminarlo después del noticias iniciales salió la semana pasada. Sin embargo, no está claro si Aisino fue culpable.

«Es una posibilidad que Aisino haya enviado el desinstalador como una forma de solucionar el problema después de ver la exposición de los medios», dice Hussey. «La eliminación secreta es algo sospechosa, pero quizás su approach de mitigación de riesgos decidió que este period el mejor método posible».

El nuevo software package eliminó las entradas de registro y registro, todos los archivos y carpetas, incluido el archivo de registro GoldenSpy, y finalmente se eliminó con el desinstalador, dice Hussey. Aisino envió el desinstalador en dos oleadas diferentes. Primero, el 28 de junio, los investigadores descubrieron que Aisino envió el desinstalador como un archivo AWX.EXE, pero las variables estaban en texto sin formato, por lo que fue fácil de detectar para el application antivirus. Hussey dice que deben haberse dado cuenta de que el computer software antivirus estaba recogiendo sus actividades, por lo que un día después enviaron un desinstalador como un archivo BWXT.EXE. La ventaja era que enviaron las variables con codificación Base64.

«Trustwave no puede verificar la razón de este cambio, pero tenemos la hipótesis de que podría haber sido evadir antivirus», dice Hussey. «La gente tiene que darse cuenta de que a pesar de que estaban desinstalando el malware GoldenSpy, aún pueden usar el software package de impuestos como plataforma para lanzar futuros ataques. Lo que quiere decir que no podían esperar tres o cinco meses después de que las noticias sobre GoldenSpy se apagaran y huelga en un punto posterior? «

Ron Hayman, director de nube de AVANT, dice que no creía que Aisino fuera responsable de inyectar el malware en su software program de impuestos.

«Creo que lanzaron el desinstalador para cubrir sus huellas», dice Hayman. «Este caso demuestra que el elemento humano sigue siendo importante. El nivel de sofisticación que los (atacantes) tuvieron que hacer cambios tan rápidamente no habría sido detectado por la mayoría de los dispositivos de seguridad de red estándar».

Hussey de Trustwave dice que las compañías con capacidades de detección y respuesta de punto remaining (EDR) deberían regresar y ver si hay alguna evidencia de que GoldenSpy existía en su purple.

«Es posible que el malware ya no esté allí, pero las empresas realmente necesitan realizar una investigación», dice. «Deben averiguar si GoldenSpy se usó para robar datos o si creó nuevos usuarios».

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse para este evento bajo demanda.

Steve Zurier tiene más de 30 años de experiencia en periodismo y publicaciones, la mayoría de los últimos 24 de los cuales se dedicaron a la tecnología de redes y seguridad. Steve tiene su sede en Columbia, Maryland. Ver biografía completa

Lectura recomendada:

Más strategies





Enlace a la noticia first