Quelques jours après un rapport détaillant l’opération de logiciels malveillants GoldenSpy ciblant les entreprises faisant des affaires en Chine, un programme de désinstallation a été poussé vers les systèmes affectés pour supprimer complètement l’infection.

La semaine dernière, Trustwave a publié des informations détaillant la manière dont une porte dérobée cachée avait été livrée à des organisations via Intelligent Tax, un logiciel d’Aisino Corporation requis par une banque chinoise.

Conçu pour fournir aux attaquants un accès sans entraves aux réseaux victimes, avec les privilèges SYSTEM, le logiciel malveillant GoldenSpy est censé exister depuis 2016, mais on ne sait pas combien d’organisations il aurait pu compromettre à ce jour.

Le 28 juin, trois jours seulement après la publication du rapport de Trustwave, le produit Aisino Intelligent Tax a été observé en train de pousser silencieusement un nouveau fichier sur des systèmes infectés, «AWX.exe». Ce fichier a été spécialement conçu pour supprimer GoldenSpy et toutes les traces de compromis, y compris les entrées de registre et les fichiers et dossiers du logiciel malveillant, après quoi il se supprimerait du système.

La commande utilisée pour la suppression entraîne la fermeture de l’interface de ligne de commande Windows à la fin de l’opération et garantit que la suppression est effectuée sans autorisation ni affichage de notification.

« Lors de nos tests, ce programme de désinstallation GoldenSpy sera automatiquement téléchargé et exécuté, et efficacement, annulera la menace directe de GoldenSpy dans votre environnement, cependant, comme le déploiement de ce programme de désinstallation est fourni directement à partir du logiciel fiscal supposément légitime, cela doit laisser les utilisateurs d’Intelligent Tax s’inquiètent de ce qui pourrait être téléchargé et exécuté de manière similaire », note Trustwave.

Malgré ce nouveau développement, les chercheurs en sécurité ne sont pas convaincus que l’acteur menaçant ralentira son activité, mais le considèrent plutôt comme un «danger clair et présent». Ainsi, ils conseillent aux organisations de …

Voir la source de cette publication

Infos WEB:  Apple acquiert Fleetsmith, une société de gestion de périphériques