Un actor de amenazas patrocinado por el estado chino conocido como Mustang Panda se dirige a organizaciones gubernamentales e investigadores de todo el mundo con tres variantes de malware alojadas en Google Drive, Dropbox y almacenamiento en la nube similar. (se abre en una pestaña nueva) soluciones
Los investigadores de Trend Micro detectaron recientemente la nueva campaña de malware, dirigida principalmente a organizaciones ubicadas en Australia, Japón, Taiwán, Myanmar y Filipinas.
Mustang Panda se inició en marzo de 2022 y ha durado al menos hasta octubre. Los atacantes crearían un correo electrónico de phishing, lo enviarían a una dirección falsa y mantendrían a la víctima real en CC. De esa manera, suponen los investigadores, los atacantes querían minimizar las posibilidades de ser detectados por herramientas antivirus, soluciones de seguridad de correo electrónico y similares.
Entrega de archivos maliciosos
«El asunto del correo electrónico puede estar vacío o tener el mismo nombre que el archivo malicioso», afirma el informe. «En lugar de agregar las direcciones de las víctimas al encabezado «Para» del correo electrónico, los atacantes usaron correos electrónicos falsos. Mientras tanto, las direcciones de las víctimas reales se escribieron en el encabezado «CC», probablemente para evadir el análisis de seguridad y ralentizar las investigaciones».
Otra cosa que hicieron para evitar la detección fue almacenar el malware en soluciones legítimas de almacenamiento en la nube, en un archivo .ZIP o .RAR, ya que estas plataformas suelen estar incluidas en la lista blanca de las herramientas de seguridad. Sin embargo, si la víctima cae en la trampa, descarga y ejecuta el archivo comprimido, obtendrá estas tres cepas de malware personalizadas: PubLoad, ToneIns y ToneShell.
PubLoad es un organizador, que se utiliza para descargar la carga útil de la siguiente etapa desde su servidor C2. También agrega nuevas claves de registro y tareas programadas para establecer la persistencia. ToneIns es un instalador de ToneShell, que es la puerta trasera principal. Si bien el proceso puede parecer demasiado complejo, funciona como un mecanismo anti-sandbox, explicaron los investigadores, ya que la puerta trasera no se ejecutará en un entorno de depuración.
El trabajo principal del malware es cargar, descargar y ejecutar archivos. Puede crear shells para el intercambio de datos de intranet o cambiar la configuración de suspensión, entre otras cosas. El malware ha obtenido un par de características nuevas últimamente, dicen los investigadores, lo que sugiere que Mustang Panda está trabajando duro, mejorando su conjunto de herramientas y volviéndose más peligroso cada día.
Vía: BleepingComputer (se abre en una pestaña nueva)