Home Gobierno Malware oculto en el software fiscal chino

Malware oculto en el software fiscal chino

El programa malicioso diseñado para proporcionar acceso de puerta trasera a las redes corporativas, obtener privilegios administrativos y entregar cargas útiles adicionales, se ocultó en el software fiscal que el gobierno chino exige a las empresas que hacen negocios en la nación, según informan los investigadores de la firma de seguridad Trustwave.

La puerta trasera, que los investigadores apodaron “GoldenHelper”, se ocultó en el software de facturación de impuestos Golden, según un informe de Trustwave SpiderLabs. El gobierno chino exige que todas las empresas registradas para hacer negocios en la nación – incluyendo las empresas de propiedad extranjera – utilicen este software para pagar los impuestos sobre el valor añadido.

GoldenHelper parece haber estado activa entre enero de 2018 y julio de 2019, según el informe. El servidor de comando y control asociado con el malware expiró en enero.

En junio, los investigadores de Trustwave publicaron un informe sobre una variante separada de malware llamada GoldenSpy, que se encontró en el software de Intelligent Tax que los bancos estatales de China exigen a las empresas para ayudar a pagar los impuestos locales.

Los analistas de Trustwave descubrieron que la puerta trasera de GoldenHelper, que se desplegaba a través del software de facturación de impuestos, también se extendió, a veces, a través de un sistema autónomo que los bancos chinos proporcionaban a las empresas para garantizar el pago de los impuestos. Una vez que las empresas instalaron el software de facturación de impuestos Golden, el malware utilizó técnicas sofisticadas para ocultar su presencia dentro de una red infectada, según el informe.

GoldenHelper tenía la capacidad de escalar los privilegios del sistema sin el permiso de un usuario, crear archivos generados aleatoriamente para crear una capa de ofuscación, descargar un ejecutable utilizando nombres de archivo falsos y esconder los archivos descargados basados en el Algoritmo de Generación de Dominios para conectarse con el servidor de comando y control, según el informe.

En la etapa final, el malware de GoldenHelper descargó una carga útil maliciosa llamada taxver.exe, que fue diseñada para realizar la ejecución remota de código dentro de la red infectada, señala el informe.

Con información de: Info Security Magazine.