Banco chinês exige que empresa estrangeira instale aplicativo com backdoor secreto

12

Uma grande empresa multinacional de tecnologia recebeu uma surpresa desagradável recentemente ao expandir suas operações para a China. O software que um banco local exigia que a empresa instalasse para pagar impostos locais continha um backdoor avançado.

O conto preventivo, detalhado em um relatório publicado quinta-feira, disse que o pacote de software, chamado Imposto Inteligente e produzido pela Aisino Corporation, com sede em Pequim, funcionou como anunciado. Nos bastidores, também instalou um programa separado que secretamente permitia que seus criadores executassem remotamente comandos ou software de sua escolha no computador infectado. Também foi assinado digitalmente por um certificado confiável do Windows.

Pesquisadores da Trustwave, empresa de segurança que fez a descoberta, apelidaram de backdoor GoldenSpy. Com privilégios no nível do sistema para um computador Windows, ele se conecta a um servidor de controle localizado em ningzhidata (.) Com, um domínio que os pesquisadores da Trustwave disseram que é conhecido por hospedar outras variações do malware. O backdoor incluía uma variedade de recursos avançados projetados para obter acesso profundo, encoberto e persistente aos computadores infectados.

De acordo com a publicação de quinta-feira, esses recursos incluem:

  • O GoldenSpy instala duas versões idênticas de si mesmo, ambos como serviços de início automático persistente. Se um deles parar de funcionar, ele reaparecerá sua contraparte. Além disso, utiliza um módulo protetor de exe que monitora a exclusão de qualquer iteração de si mesma. Se excluído, ele fará o download e executará uma nova versão. Efetivamente, essa proteção de camada tripla torna extremamente difícil remover esse arquivo de um sistema infectado.
  • O recurso de desinstalação do software Intelligent Tax não desinstalará o GoldenSpy. Ele deixa o GoldenSpy funcionando como um backdoor aberto para o ambiente, mesmo após a remoção completa do software tributário.
  • O GoldenSpy não é baixado e instalado até duas horas completas após a conclusão do processo de instalação do software fiscal. Quando finalmente baixa e instala, o faz silenciosamente, sem notificação no sistema. Esse longo atraso é altamente incomum e um método para ocultar o aviso da vítima.
  • O GoldenSpy não entra em contato com a infraestrutura de rede do software fiscal (i-xinnuo (.) com), em vez disso, chega a ningzhidata (.) com, um domínio conhecido por hospedar outras variações do malware GoldenSpy. Após as três primeiras tentativas de contatar seu servidor de comando e controle, ele seleciona aleatoriamente os tempos dos beacon. Este é um método conhecido para evitar tecnologias de segurança de rede projetadas para identificar malware de beacon.
  • O GoldenSpy opera com privilégios no nível do SISTEMA, tornando-o altamente perigoso e capaz de executar qualquer software no sistema. Isso inclui malware adicional ou ferramentas administrativas do Windows para realizar reconhecimento, criar novos usuários, aumentar privilégios etc.

A publicação de quinta-feira disse que os analistas de ameaças da Trustwave identificaram "atividade semelhante" em uma segunda empresa, mas não têm muitos outros detalhes. A empresa de segurança encontrou variações do GoldenSpy que datam do final de 2016, mas a primeira indicação de que o backdoor foi realmente usado na natureza é em abril, quando a campanha contra a empresa de tecnologia começou. Os pesquisadores ainda não sabem o escopo, o objetivo ou os atores por trás da ameaça. A Trustwave não identificou as duas empresas que encontraram o GoldenSpy ou o banco chinês local que exigia a instalação do Imposto Inteligente. Os representantes da Aisino Corporation não responderam imediatamente a um e-mail solicitando comentários para esta postagem.

Fonte: Ars Technica