Theo Zdnet, GoldenSpy "núp bóng" một phần mềm quản lý thuế có tên Intelligent Tax do Tập đoàn Aisino của Trung Quốc sản xuất. Hai công ty bị buộc cài đặt phần mềm này là một nhà cung cấp giải pháp công nghệ có trụ sở tại Anh và một tổ chức tài chính lớn khác tại châu Âu. Cả hai gần đây đã mở văn phòng đại diện tại Trung Quốc.
Sau khi cài, hai công ty "cảm thấy có dấu hiệu đáng ngờ" và đã báo cáo cho Trustwave, một công ty an ninh mạng đặt trụ sở tại Anh.
"Các nạn nhân đã thông báo với chúng tôi rằng, một ngân hàng địa phương ở Trung Quốc thông báo nếu muốn hoạt động ở Trung Quốc thì họ phải cài Intelligent Tax để nhằm nộp thuế dễ dàng", đại diện Trustwave nói. Công ty từ chối đề cập danh tính của ngân hàng.
Trustwave cho biết trojan GoldenSpy nằm ẩn bên trong Intelligent Tax và hoạt động như một phần mềm quảng cáo. Tuy vậy, nó cũng là một cửa hậu (backdoor) và được đánh giá là cực kỳ nguy hiểm.
"GoldenSpy chạy với quyền truy cập hệ thống, cho phép hacker kết nối từ xa với máy bị nhiễm, thực thi các lệnh Windows, tải dữ liệu, cài đặt phần mềm trái phép và thực hiện các cuộc tấn công leo thang đặc quyền khác", chuyên gia của Trustwave giải thích.
Đi sâu vào phân tích, Trustwave còn nhận thấy GoldenSpy có những đặc tính không giống với các backdoor khác. Chẳng hạn, nó sẽ cài hai phiên bản giống nhau và liên tục thay phiên nhau chạy dịch vụ. Nếu một trong hai bị ngừng, bên còn lại sẽ làm nhiệm vụ "hồi sinh". Bên cạnh đó, GoldenSpy còn tạo một module cho phép phát hiện ứng dụng bị xóa. Nếu bị xoá, module sẽ tự động tải về phiên bản mới âm thầm.
GoldenSpy còn có những tính năng nâng cao khác. Sau khi cài đặt, nó sẽ liên lạc với tên miền ningzhidata[.]com - nơi lưu trữ các biến thể khác của GoldenSpy. Thậm chí, khi Intelligent Tax bị gỡ bỏ, GoldenSpy vẫn tồn tại trên máy tính nạn nhân. "Việc loại bỏ hoàn toàn GoldenSpy là cực kỳ khó khăn", chuyên gia của Trustwave nhấn mạnh.
Trustwave thừa nhận không thể xác định được ai đứng sau phần mềm độc hại này. Công ty bảo mật của Anh nghi vấn Intelligent Tax có thể nhiễm mã độc từ hacker, nhưng cũng không loại trừ việc bị cài cắm bởi Aisino hoặc đứng sau là chính phủ Trung Quốc.
Bảo Lâm