La société de cybersécurité Trustwave a publié un nouveau rapport détaillant sa découverte d'un nouveau type de malware caché dans un logiciel fiscal chinois. En juin, les SpiderLabs de la société ont signalé un logiciel malveillant dans le logiciel fiscal chinois appelé GoldenSpy, qui installait une porte dérobée donnant aux attaquants un accès complet au réseau d'une entreprise. Cependant, le nouveau rapport de Trustwave met en évidence de nouveaux logiciels espions découverts dans d'autres logiciels fiscaux utilisés par les entreprises opérant en Chine pour payer la TVA. Bien que ce nouveau malware que la société appelle GoldenHelper soit également diffusé via un logiciel fiscal, selon le rapport, il est « complètement différent de GoldenSpy ».
Logiciel espion GoldenHelper
La campagne de malware GoldenHelper a été active en 2018 et pendant la majeure partie de 2019 avant de s'arrêter brusquement en juillet de l'année dernière. Le malware lui-même était caché dans le logiciel de facturation chinois Golden Tax, que les entreprises utilisent pour comptabiliser et payer la TVA. Après la publication de son rapport, Trustwave a découvert qu'un programme avait été inséré dans le logiciel fiscal pour effacer toute trace du malware. Bien que la société n’ait pas encore précisé qui se cache derrière GoldenHelper, elle pense que le logiciel espion faisait partie d’une campagne menée par un État-nation. Les organisations opérant en Chine doivent utiliser le logiciel fiscal du pays pour continuer à y faire des affaires, mais Brian Hussey, vice-président de la détection et de la réponse aux cybermenaces de Trustwave, a expliqué la meilleure façon de le faire dans un article de blog en disant : « Il est important de se rappeler que en tant que communauté de sécurité protégeant les données et les infrastructures critiques, nous devons rester vigilants et peser toutes les options et tous les risques individuellement. Trustwave SpiderLabs comprend que le logiciel de facturation de la TVA est une exigence gouvernementale et recommande que tout système hébergeant des applications tierces ayant le potentiel d'ajouter un passerelle vers votre environnement, est isolée et largement contrôlée avec des processus et procédures stricts utilisés. " Via NBC