Hace tres semanas, los investigadores de seguridad expusieron una siniestra pieza de malware que acecha dentro del software fiscal que el gobierno chino requiere que las empresas instalen. Ahora hay evidencia de que la campaña de espionaje de alto sigilo fue precedida por una pieza separada de malware que empleó medios igualmente sofisticados para infectar a los contribuyentes en China.
GoldenHelper, como los investigadores de la firma de seguridad Trustwave llamaron al malware, se escondió dentro del software Golden Tax Invoicing, que todas las empresas registradas en China deben usar para pagar impuestos al valor agregado. El malware puede eludir el Control de cuentas de usuario, el mecanismo de Windows que requiere que los usuarios den su aprobación antes de que el software pueda instalar programas o realizar otros cambios en el sistema. Una vez hecho esto, GoldenSpy puede instalar módulos con privilegios de nivel de sistema. Trustwave publicó sus hallazgos el martes aquí.
GoldenHelper emplea otros trucos para ocultar su comportamiento malicioso y evadir la detección de los sistemas y software de protección de puntos finales. Los trucos incluyen:
- Nombres de archivo generados aleatoriamente
- Marcas de tiempo de «creación» y «última escritura» generadas aleatoriamente
- Intento de descarga de archivos ejecutables con nombres de archivo falsos con extensiones como .gif, .jpg y .zip
- Lógica codificada que utiliza datos de búsqueda de dominio para controlar las ubicaciones de descarga, el contenido descargado y dónde se coloca el contenido
- Uso de un algoritmo de generación de dominios basado en IP para cambiar las ubicaciones de los servidores de comando sobre la marcha
En algunos casos, los bancos implementan el software Golden Tax como sistemas independientes. Trustwave dijo que descubrió informes de varias personas que dijeron que recibieron computadoras con Windows 7 Home Edition que tenían el software de impuestos y el GoldenHelper oculto preinstalado.
El descubrimiento se produce tres semanas después de que Trustwave expusiera GoldenSpy, una pieza de software espía avanzado que los investigadores encontraron instalada en la red de una gran empresa multiMarketingdecontenido de tecnología que acababa de abrir oficinas en China. Al igual que GoldenHelper, GoldenSpy empleó el mismo modus operandi de instalación, a través del Golden Tax Project.
Trustwave dijo que GoldenSpy había estado activo desde abril hasta el mes pasado, cuando la campaña se cerró abruptamente tras el informe de la empresa de seguridad. GoldenHelper estuvo activo desde enero de 2023 hasta julio de 2023, un hallazgo que muestra que el software fiscal ha albergado malware durante más tiempo del que se sabía anteriormente. GoldenHelper se firmó digitalmente con un certificado de confianza de Windows emitido a NouNou Technologies, una subsidiaria de Aisino Corporation, la misma empresa responsable del software fiscal con el malware GoldenSpy integrado.
El software de impuestos que contiene GoldenHelper fue producido por una empresa conocida como Baiwang. Baiwang y Aisino son los dos únicos proveedores oficiales de los sistemas de facturación. El último descubrimiento muestra que GoldenSpy no fue una campaña única, sino una que usó al menos otra pieza de malware durante un período de tiempo más prolongado de lo que se sabía anteriormente.
No está claro por qué GoldenHelper se cerró tan abruptamente. Una suposición es que sus operadores abandonaron el proyecto después de que las tasas de detección aumentaran, de aproximadamente tres en enero de 2023 a hasta 29 en marzo. A continuación se muestra una línea de tiempo que rastrea el historial del malware:
Onda de confianza
A diferencia de la investigación sobre GoldenSpy, los investigadores de Trustwave aún tienen que encontrar muestras de la carga útil final instalada por GoldenHelper. El nombre del archivo es taxver.exe. Trustwave solicita que cualquier persona que pueda proporcionar una muestra se comunique con los investigadores en [email protected].
