ผู้เชี่ยวชาญเตือนพบมัลแวร์ ‘GoldenSpy’ ซ่อนอยู่ในซอฟต์แวร์ภาษีของจีน

Trustwave ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ของสหราชอาณาจักรฯ เตือนบริษัทต่างชาติที่จะเข้าไปลงทุนในจีน ให้ระวังตัวจากซอฟต์แวร์ภาษีของจีนที่มีมัลแวร์ติตมาด้วย โดย Trustwave สืบพบจากลูกค้าของตัวเองหลังติดตั้งซอฟต์แวร์ที่ธนาคารแห่งหนึ่งในจีนให้มา

Trustwave ตั้งชื่อมัลแวร์ว่า ‘GoldenSpy’ ที่พบในซอฟต์แวร์ภาษีของจีนที่ชื่อ Aisino Intelligent Tax Software หลังจากพบเหตุการณ์แปลกๆ ในเครือข่ายของลูกค้า ถึงแม้ว่าซอฟต์แวร์ภาษีจะทำงานได้ตามฟังก์ชันหลักจริงแต่สิ่งที่ติดมาก็คือมัลแวร์ อย่างไรก็ดีแม้ว่าเป็นเรื่องธรรมดาหากซอฟต์แวร์จะมีฟีเจอร์ Remote Access เพื่อไว้ใช้ Debug ได้ แต่หลังจากวิเคราะห์พฤติกรรมของ GoldenSpy แล้วเชื่อว่าไม่น่าจะหวังดี โดยฟีเจอร์ที่พบมีดังนี้

• มีการทำ Persistent ให้เริ่มต้น Service กลับมาได้หากหยุดรันไป มีการติดตามว่าหากถูกลบก็จะกลับมาใหม่ได้ 
• ฟังก์ชัน Uninstall ของซอฟต์แวร์ภาษีไม่ได้ลบ GoldenSpy ออกไปด้วย
• หลังติดตั้งซอฟต์แวร์ภาษีออกไปแล้ว 2 ชั่วโมง GoldenSpy ถึงถูกเรียกติดตั้งอย่างเงียบๆ
• GoldenSpy ไม่ได้ติดต่อโดเมนเดียวกับซอฟต์แวร์ แต่มีโดเมนแยกต่างหากที่ชื่อ ningzhidata[.]com ซึ่งเมื่อติดต่อไปได้ 3 ครั้ง จะมีการสุ่มคาบเวลาติดต่อ ที่ปกติแล้วมัลแวร์มักจะทำเพื่อป้องกันโซลูชันที่ตรวจจับคาบเวลาได้
• GoldenSpy มีสิทธิ์ระดับ SYSTEM ซึ่งทำให้สามารถเรียก Execute มัลแวร์อื่นในระบบหรือเครื่องมือแอดมินได้ จึงมีความอันตรายอย่างยิ่ง

ปัจจุบันยังไม่รู้ความจริงแน่ใจโดยมีสมมติฐานได้ 2 ทางคือรัฐบาลจีนบังคับให้ธนาคารหรือ Aisino Intelligent Tax Software ทำการสอดแนมบริษัทต่างชาติหรือว่าเป็นฝีมือของคนในธนาคารเองที่อาจจะเล็งเกี่ยวกับผลประโยชน์ด้านการเงินเอาไว้ ด้วยเหตุนี้เอง Trustwave จึงเตือนบริษัทต่างชาติที่จะเข้าไปลงทุนไว้ล่วงหน้า…

ที่มา :  https://www.zdnet.com/article/chinese-bank-forced-western-companies-to-install-malware-laced-tax-software/