CISO Advisor: 238.450 page views/mês - 90.230 usuários/mês - 5.312 assinantes

open-doors-1518244_1280.jpg

Empresas que têm negócios com a China podem ser alvo de backdoor

Da Redação
29/06/2020

As empresas que fazem negócios com a China foram avisadas que um software com aparência oficial, exigido para download por bancos daquele país, pode conter malware para instalação de backdoor (“porta dos fundos”, em português), método que cibercriminosos usam para escapar de uma autenticação ou criptografia normais em um sistema. 

Em um novo relatório, a empresa de segurança cibernética Trustwave diz ter descoberto que vários clientes instalaram involuntariamente backdoor do trojan GoldenSpy após concordarem em baixar o software Intelligent Tax, programa para quitação de impostos produzido pelo Departamento de Golden Tax, da Aisino Corporation.

Embora funcionasse como anunciado, o software também continha uma poderosa backdoor que não pôde ser removida, mesmo com a desinstalação do Intelligent Tax.

Veja isso
EUA afirmam ter provas de backdoor em equipamentos da Huawei
Justiça pressiona Apple por backdoor na criptografia do iPhone

O software instalou uma backdoor oculta no sistema que permitia que um cibercriminoso executasse remotamente comandos do Windows ou carregasse e executasse qualquer binário (incluindo ransomware, cavalos de Troia ou outro malware), explica o relatório da Trustwave. Basicamente, era uma porta aberta para a rede com privilégios em nível do sistema e conectada a um servidor de comando e controle (C&C) completamente separado da infraestrutura de rede do software tributário.

Ainda não está claro se a backdoor foi adicionada ao software sem o conhecimento dos bancos ou se o esquema faz parte de uma ampla gama de negócios em toda a China.

Embora a campanha atual tenha começado em abril deste ano, as variantes do GoldenSpy datam de dezembro de 2016, alguns meses depois de a Aisino ter anunciado uma nova parceria para big data com uma empresa chamada Chenkuo Network Technology. Essa mesma empresa assina digitalmente o GoldenSpy usando o texto, “serviço certificado de atualização de versão de software”, projetado para legitimar o malware.

“Acreditamos que todas as empresas que operam na China ou que utilizam o software da Aisino devem considerar esse incidente uma ameaça em potencial e se engajar em contramedidas de busca, contenção e correção de ameaças, conforme descrito em nosso relatório técnico”, concluiu o vice-presidente de detecção e resposta a ameaças cibernéticas da Trustwave, Brian Hussey.

Compartilhar: