隐藏在中国强制软件中的恶意软件比想象的更广泛

三周前，安全研究人员揭露了潜伏在中国政府要求公司安装的税务软件中的一款险恶的恶意软件。现在有证据表明，在高隐蔽性间谍活动之前，另一款恶意软件使用了同样复杂的手段感染了中国的纳税人。

安全公司Trustwave的研究人员将这种恶意软件称为GoldenHelper，它隐藏在金税开票软件中，所有在中国注册的公司都被要求使用该软件缴纳增值税。恶意软件能够绕过用户帐户控制(User Account Control)，这是一种Windows机制，要求用户在安装程序或进行其他系统更改之前获得用户的批准。一旦完成，GoldenSpy就可以使用系统级权限安装模块。Trustwave周二在这里公布了他们的发现。

GoldenHelper使用其他技巧来隐藏其恶意行为，并逃避端点保护系统和软件的检测。诀窍包括：

尝试使用扩展名为.gif、.jpg和.zip的假文件名下载可执行文件。

使用域查找数据控制下载位置、下载的内容以及内容放置位置的硬编码逻辑。

在某些情况下，银行将金税软件部署为独立系统。Trustwave表示，它发现了几个人的报告，这些人表示，他们收到了运行Windows7家庭版的电脑，这些电脑预装了税务软件-以及隐藏的GoldenHelper。

在这一发现的三周前，Trustwave曝光了GoldenSpy，研究人员发现这是一款先进的间谍软件，安装在一家刚刚在中国开设办事处的大型跨国科技公司的网络上。与GoldenHelper一样，GoldenSpy也采用了相同的安装操作方式-通过金税项目(Golden Tax Project)。

Trustwave说，从4月份到上个月，GoldenSpy一直很活跃，当时在该安全公司的报告发布后，该活动被突然关闭。从2018年1月到2019年7月，GoldenHelper一直处于活动状态，这一发现表明，税务软件存在恶意软件的时间比之前所知的更长。GoldenHelper是使用向Aisino Corporation的子公司Nounou Technologies颁发的受Windows信任的证书进行数字签名的，Aisino Corporation是负责嵌入了GoldenSpy恶意软件的税务软件的同一家公司。

藏匿黄金助手的税务软件是由一家名为百旺的公司开发的。百旺和Aisino是仅有的两家官方发票系统供应商。最新的发现表明，GoldenSpy不是一次性的，而是在比之前所知的更长的时间内使用了至少另一款恶意软件。

目前还不清楚为什么GoldenHelper如此突然地被关闭。一种猜测是，在检测率从2019年1月的约3人跃升至3月份的29人后，其运营商放弃了该项目。以下是跟踪恶意软件历史记录的时间表：

与对GoldenSpy的调查不同，Trustwave的研究人员尚未找到GoldenHelper安装的最终有效载荷的样本。文件名为taxver.exe。Trustwave要求任何能提供样本的人联系研究人员，邮箱是goldenspy@trustwave e.com。