Las empresas que trabajan en China con cierto operador banacrio están obligadas a instalar un programa de gestión de impuestos, el cual contiene una nueva familia de malware
La empresa de seguridad Trustwave SpiderLabs ha descubierto un nuevo tipo de malware, denominado GoldenSpy, el cual se conecta a una máquina externa con dirección www[.]ningzhidata[.]com para solicitar y enviar información. Se desconocen los motivos y el uso de esta campaña, la cual afecta a empresas con negocios en China.
Para su instalación, el software de gestión de impuestos se conecta a la dirección 49[.]232[.]156[.]177:9002 para descargar la última versión del programa plugin.exe, el cual descarga a su vez el fichero svminstall.exe de la dirección ningzhida[.]com. Dicho ejecutable se encarga de instalar dos versiones idénticas de malware (ambos con persistencia), los cuales impiden el borrado del sistema infectado.
Esta forma de instalación es muy común en otros malware, compartiendo otras características como la ejecución con privilegios del sistema, lo cual le permite realizar cualquier tipo de acción. Desinstalar el programa de gestión de impuestos no borra el malware del sistema, por lo que es necesario eliminarlo de otra forma. Para evitar ser detectado en la instalación del programa de gestión, éste espera a que hayan pasado 2 horas desde su instalación.
El programa que incluye esta nueva familia se llama Intelligent Tax-aisino, y es requerido por el mayor banco de China para que las empresas puedan hacer negocios con el banco. La campaña actual empezó en abril de este año, aunque la empresa de seguridad tras el descubrimiento ha encontrado variantes de esta misma familia de diciembre de 2016.
Más información:
The Golden Tax Department and the Emergence of GoldenSpy Malware:
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/the-golden-tax-department-and-the-emergence-of-goldenspy-malware/
Deja una respuesta