Se descubre un nuevo malware en programa utilizado por un banco en China

La empresa de seguridad Trustwave SpiderLabs ha descubierto un nuevo tipo de malware, denominado GoldenSpy, el cual se conecta a una máquina externa con dirección www[.]ningzhidata[.]com para solicitar y enviar información. Se desconocen los motivos y el usode esta campaña, la cual afecta a empresas con negocios en China. De acuerdo con los investigadores quienes […]

La empresa de seguridad Trustwave SpiderLabs ha descubierto un nuevo tipo de malware, denominado GoldenSpy, el cual se conecta a una máquina externa con dirección www[.]ningzhidata[.]com para solicitar y enviar información. Se desconocen los motivos y el uso
de esta campaña, la cual afecta a empresas con negocios en China.

De acuerdo con los investigadores quienes analizaron el programa gracias al apoyo de un cliente de la entidad bancaria China, se identificó un archivo ejecutable que muestra un comportamiento muy inusual, ya que envía información del sistema a un dominio chino sospechoso.

Las conversaciones con el cliente revelaron que esto era parte del software de impuestos requerido por el banco. El usuario indicó que, al abrir operaciones en China, su banco local chino requería la instalación de un paquete de software llamado Impuesto Inteligente producido por el
Departamento de Impuestos Dorados de la Corporación Aisino, para pagar los impuestos locales.

Para su instalación, el software de gestión de impuestos se conecta a la dirección 49[.]232[.]156[.]177:9002 descargar la última versión del programa plugin.exe, el cual descarga a su vez el fichero svminstall.exe de la dirección ningzhida[.]com. Dicho ejecutable se encarga de instalar dos versiones idénticas de malware (ambos con persistencia), los cuales impiden el borrado del sistema infectado.

Esta forma de instalación es muy común en otros malware, compartiendo así otras características como la ejecución con privilegios del sistema, lo cual le permite al código malicioso realizar cualquier tipo de acción. Desinstalar el programa de gestión de impuestos no borra el malware del
sistema, por lo que es necesario eliminarlo de otra forma. Para evitar ser detectado en la instalación del programa de gestión, éste espera a que hayan pasado dos horas desde su instalación.

La campaña actual de GoldenSpy comenzó en abril de 2020, sin embargo, los analistas de inteligencia de amenazas cibernéticas de Trustwave SpiderLabs han descubierto variaciones de GoldenSpy que se remontan a diciembre de 2016. Por lo demás, sitio web de Chenkuo Technology
anunció una asociación con Aisino en octubre de 2016, dos meses antes de la aparición de GoldenSpy, lo que ciertamente podría permitir el acceso y la recopilación de big data.