Los investigadores de seguridad cibernética de ESET han detectado una campaña de ciberespionaje avanzada y altamente dirigida que abusa de una aplicación de mensajería china legítima para ofrecer un potente ladrón de información.
En la campaña, un actor de amenazas conocido como Evasive Panda usó una actualización de la aplicación de mensajería Tencent QQ para entregar un malware de robo de información. (se abre en una pestaña nueva) conocido como MsgBot.
MsgBot es capaz de muchas cosas, incluido el registro de claves en aplicaciones específicas de Tencent, el robo de archivos de discos duros y discos USB, la supervisión del portapapeles, la captura de flujos de audio de entrada y salida, el robo de contraseñas para Outlook y Foxmail, así como las credenciales y las cookies almacenadas. en navegadores populares (Chrome, Firefox, Opera y otros). También puede robar el historial de mensajes de la aplicación Tencent QQ e información de Tencent WeChat.
ONG dirigidas
Los atacantes no lanzaron una red amplia con este ladrón de información. De hecho, se dirigieron a un puñado de personas. ESET dice que la mayoría de los objetivos eran miembros de una organización no gubernamental (ONG) internacional ubicada en tres provincias chinas separadas: Gansu, Guangdong y Jiangsu.
El grupo detrás de la campaña, llamado Evasive Panda, supuestamente ha estado activo durante más de una década (desde 2012) y, durante ese tiempo, se ha dirigido a innumerables organizaciones e individuos en China, Hong Kong, Macao y otros países de Asia. Esta campaña en particular ha estado activa durante más de tres años, afirma ESET, y dice que probablemente comenzó en 2020.
Si bien los investigadores saben quién dirige la campaña, quiénes son los objetivos y qué herramientas se utilizan, el «cómo» sigue siendo un misterio. Actualmente, ESET tiene dos escenarios posibles de cómo Evasive Panda infectó estos puntos finales con MsgBot: un ataque a la cadena de suministro o un ataque de adversario en el medio.
Con un ataque a la cadena de suministro, Evasive Panda tendría que infiltrarse en la red de Tencent, identificar una próxima actualización de la aplicación Tencent QQ e infectarla con malware. En un ataque de adversario en el medio, la carga útil tendría que ser secuestrada y troyanizada en tránsito.
Ambos escenarios son plausibles, dice ESET.
Vía: BleepingComputer (se abre en una pestaña nueva)