【安全资讯】员工福利软件内含间谍软件功能

引言

近日，研究人员收到了一份“Beijing One Pass ”的副本，经过分析，在该应用程序中发现了类似间谍软件的功能，包括持久性机制、收集用户数据（如屏幕截图和按键）、后门功能、以及禁用安全和备份相关服务等。“Beijing One Pass ”是一个可以访问国家福利信息的应用程序，许多公司在系统上安装了该应用程序，以便访问数字平台管理员工福利。 目前，尚不清楚间谍软件的攻击意图；

简况

研究人员分析发现了该软件的可疑行为，这些行为与从主应用程序启动的多个释放的文件和后续进程有关。安装 Beijing One Pass PC客户端后，生成的后续流程树如下图：

该应用程序包含与间谍软件一致的功能，包括以下功能：

• 1.能够在 Windows 启动时自动运行以确保持久性
• 2.在文件运行时定期检查与操作系统的人机交互
• 3.尝试读取、创建或修改系统注册表 ROOT 证书
• 4.在主机设备上禁用安全和备份服务
• 5.允许使用 ActiveX 的域，这可能允许它连接到其他 Internet 资源
• 6.从剪贴板读取数据
• 7.录制截图
• 8.捕获和检索击键

还有一些迹象表明该文件包含打开端口和窃听传入连接的后门功能，此功能存在于名为“wmControl.exe”的 CertAppEnv 安装随附的驱动程序中。应用程序中还包含反分析功能，这通常与恶意软件有关。目前，研究人员无法确认包含间谍软件功能的“BJ yitong”背后的意图，但不建议用户在可访问敏感数据的设备上安装此类软件。