محققان امنیتی متوجه شده اند، مهاجمان سایبری با انتشار بدافزار GoldenSpy از طریق یک نرمافزار حسابداری مالیاتی که مشتریان یک بانک چینی از آن استفاده می کنند، سعی در شناسایی درب های پشتی موجود در سیستمهای رایانه ای کاربران داشته اند. ظاهراً این گروه مجرمانه، چنین اقدامی را به عنوان سرپوشی برای سایر فعالیتهای خرابکارانه خود انجام می داده است.
محققان شرکت Trustwave، در بررسی های خود پی به وجود این ضعف امنیتی در نرمافزار مالیاتی Intelligent Tax که توسط یک شرکت چینی تولید شده است، شده اند. این شرکت، در پست جدید خود گزارش داده که متوجه انتشار یک فایل حذف کننده (uninstaller) به نام AWX.exe در این نرم افزار حسابداری شده است.
به گفته شرکت Trustwave، هدف از این فایل، حذف تمام شواهدی است که نشان دهنده وجود GoldenSpy از جمله فایلها، پوشهها و کلیدهای رجیستری ویندوز. در سیستم آلوده بوده است. در نهایت، خود این فایل حذف هم به صورت خودکار، قابلیت پاک سازی از روی سیستم های کاربران را داشته است.
Brian Hussey نویسنده این مطلب که مدیر تشخیص و واکنش به تهدیدهای سایبری شرکت Trustwave است، گفته است: «در آزمونهای ما فایل حذف GoldenSpy، به صورت خودکار دانلود و حذف شده است. انتشار این فایل حذف که به صورت مستقیم از طریق یک نرمافزار مالیاتی به ظاهر معتبر و مجاز دانلود و نصب میشود، باعث شده که کاربران نگران دانلود و اجرای بدافزارهای دیگری به صورت مشابه باشند».
او همچنین گفته که: «هر چند تیم تحقیقاتی ما از تحقیق ها و تحلیلهای انجام شده بر روی GoldenSpy که موجب برطرف سازی سریعتر این مخاطره شد، استقبال میکند اما مطمئن نیستیم که این پیشرفت جدید بتواند باعث کاهش فعالیتهای مجرمان شود. این حمله یک خطر واضح و پایدار است که توسط افرادی بسیار هوشمند و مبتکر طراحی و اجرا شده است».
بر اساس گزارشی که اول تیرماه 99 منتشر شد، شرکت Trustwave نسخه دومی از این فایل حذفی را شناسایی کرده است که دارای قابلیت هایی برای مبهم سازی متغیرهای خود آن هم با روش کدگذاری Base64 بوده است. مهاجمان از این روش احتمالاً برای جلوگیری از شناسایی بدافزار GoldenSpy توسط سیستمهای امنیتی و نرم افزارهای ضدویروس استفاده کرده اند.
منبع: scmagazine