Недавно специалисты компании Trustwave сообщали, что неназванный китайский банк вынуждал западные компании устанавливать официальное налоговое ПО, содержащее бэкдор GoldenSpy. Вызвавшая подозрения экспертов программа называется Intelligent Tax, и она разработана Aisino Corporation специально для уплаты местных налогов.
GoldenSpy обладает правами уровня SYSTEM, что позволяет удаленным злоумышленникам подключаться к зараженной системе компании, выполнять произвольные команды, загружать и устанавливать другое программное обеспечение. Малварь существует с 2016 года и неясно, сколько организаций она могла скомпрометировать на текущий момент.
Интересно, что аналитикам Trustwave так и не удалось понять, каким образом бэкдор попал в продукт Aisino Corporation. Теории экспертов гласили, что бэкдор мог быть создан «правительственными» хакерами Китая; тайно добавлен в программу нечистым на руку сотрудником банка; или разработан кем-то из инженеров Aisino Corporation.
Спустя всего три дня после публикации отчета Trustwave, аналитики компании обнаружили, что теперь продукт Aisino Corporat тайком помещает файл AWX.exe во все зараженные системы. Как оказалось, этот файл создан специально для удаления бэкдора GoldenSpy и всех следов компрометации, включая записи реестра, файлы и папки малвари. Завершив «чистку», деинсталлятор удаляет из системы и самого себя.
При этом удаление бэкдора производится по-тихому, через интерфейс командной строки Windows и выполняется без каких-либо разрешений или уведомлений. Сам деинсталлятор обфусцирован и явно стремится избежать обнаружения, как и оригинальный бэкдор. Более того, он удаляет GoldenSpy, точно следуя инструкциям по удалению малвари, которые эксперты Trustwave включили в своей отчет.
«В ходе нашей проверки деинсталлятор GoldenSpy был автоматически загружен и выполнен, и эффективно устранил прямую угрозу GoldenSpy. Однако, поскольку развертывание этого деинсталлятора осуществляется непосредственно из предположительно легитимного налогового ПО, пользователям Intelligent Tax стоит обеспокоиться вопросом, что еще можно загрузить и выполнить аналогичным способом», — пишут эксперты Trustwave.
Исследователи пишут, что, невзирая на неожиданное удаление бэкдора, его по-прежнему следует рассматривать как угрозу, а всем, кто работает с Intelligent Tax необходимо проверить свои системы на предмет компрометации.