A finales de junio, investigadores de Trustwave SpiderLabs informaron que el software de contabilidad ”Inteligencia Tributaria”, desarrollado por la empresa china Aisino Corporation y distribuido a los clientes globales de un banco chino no identificado, fue troyanizado con “GoldenSpy ,” un malware capaz de ejecutar una serie de Comandos de Windows, así como código arbitrario. […]
A finales de junio, investigadores de Trustwave SpiderLabs informaron que el software de contabilidad ”Inteligencia Tributaria”, desarrollado por la empresa china Aisino Corporation y distribuido a los clientes globales de un banco chino no identificado, fue troyanizado con “GoldenSpy ,” un malware capaz de ejecutar una serie de Comandos de Windows, así como código arbitrario.
Ahora, estos mismos investigadores advierten sobre “GoldenHelper”, otro malware de puerta trasera que se encontró en un programa llamado Golden Tax Invoicing Software (Baiwang Edition), que Trustwave dice que también fue desarrollado por Aisino, a través de su subsidiaria NouNou Technology. Según Trustwave, GoldenHelper es en realidad un precursor de GoldenSpy.
Curiosamente, hay una compañía llamada Baiwang que también desarrolla software de facturación de IVA chino, pero Trustwave no encontró ninguna conexión oficial entre Golden Tax y esa compañía, a pesar de la alusión a una edición de Baiwang en nombre del software.
Los bancos chinos requieren que sus clientes utilicen Golden Tax para fines de facturación de impuestos de valor agregado, lo que significa que las empresas pueden no haber tenido más remedio que instalar el software para realizar negocios y pagar impuestos en China, informa Trustwave. El Impuesto de Inteligencia también fue requerido por al menos un banco chino, presentando a los clientes un dilema similar.
GoldenHelper no es una carga útil. Más bien, deja caer un malware secundario llamado taxver.exe, cuyo propósito no se conoce. Trustwave señala que el malware “utiliza técnicas sofisticadas para ocultar su entrega, presencia y actividad”, incluida la ofuscación a través de nombres de archivo falsos y aleatorizados, timestomping (aleatorización de marcas de tiempo), omisión de UAC y escalada de privilegios.
En otro giro extraño, Trustwave descubrió que el software Golden Tax y el malware GoldenHelper oculto en su interior pueden haberse distribuido a objetivos a través de computadoras con Windows 7 (edición Home) que se enviaron a los clientes con el software preinstalado. “Este mecanismo de despliegue es una manifestación física interesante de un caballo de Troya”, afirma en una publicación.
Debido a que las empresas que operan en China deben, por ley gubernamental, utilizar el software de la factura de impuestos sobre el IVA, Trustwave “recomienda que cualquier sistema que aloje aplicaciones de terceros con potencial para agregar una puerta de enlace a su entorno, esté aislado y fuertemente monitoreado con procesos estrictos y procedimientos en su uso”.
Parece que la campaña GoldenHelper ya no está activa, ya que los dominios de comando y control expiraron en enero pasado. Sin embargo, la carga útil final de taxver.exe aún podría estar operativa.
Trustwave cree que GoldenHelper estuvo activo desde enero de 2018 hasta julio de 2019, lo que significa que cualquier persona después de julio de 2019 no se infectaría. Los investigadores sospechan que el aumento de las tasas de detección de malware puede ser la razón por la cual GoldenHelper fue cerrado y luego reemplazado por GoldenSpy, que comenzó a funcionar en abril de 2020 y quedó expuesto en junio de 2020.
Mekotio, una familia de troyanos bancarios que apunta a sistemas Windows presente en Latinoamérica y distribuida a través de campañas maliciosas dirigidas a países específicos, como Chile o España, entre otros.
Colectivamente llamados “Tetrade” por los investigadores de Kaspersky, las familias de malware, que comprenden Guildma, Javali, Melcoz y Grandoreiro, han desarrollado capacidades para funcionar como una puerta trasera y adoptar una variedad de técnicas de ofuscación para ocultar sus actividades maliciosas del software de seguridad.