Una nueva herramienta para su computadora portatil podria ayudar a

Ein staatlich geförderter chinesischer Bedrohungsakteur namens Mustang Panda zielt mit drei Malware-Varianten auf Regierungsorganisationen und Forscher auf der ganzen Welt ab, die auf Google Drive, Dropbox und ähnlichen Cloud-Speicherlösungen gehostet werden (wird in einem neuen Pestaña geöffnet).

Forscher von Trend Micro haben kürzlich die neue Malware-Kampagne entdeckt, die sich hauptsächlich an Unternehmen in Australien, Japan, Taiwan, Myanmar und auf den Philippinen richtet.

Mustang Panda startete im März 2022 und dauerte mindestens bis Oktober. Die Angreifer erstellten eine Phishing-E-Mail, sendeten sie an eine gefälschte Adresse, während sie das echte Opfer kopierten. Die Forscher vermuten, dass die Angreifer auf diese Weise das Risiko minimieren wollten, von Antiviren-Tools, E-Mail-Sicherheitslösungen usw. entdeckt zu werden.

Liefern Sie bösartige Dateien

„Der E-Mail-Betreff kann leer sein oder den gleichen Namen wie die bösartige Datei haben“, heißt es in dem Bericht. Anstatt die Adressen der Opfer in den „To“-Header der E-Mail einzufügen, verwendeten die Angreifer gefälschte E-Mails. In der Zwischenzeit wurden die Adressen echter Opfer in den 'CC'-Header geschrieben, was der Sicherheitsanalyse entgehen und Ermittlungen verlangsamen kann."

Um eine Erkennung zu vermeiden, speicherten sie Malware auch auf legitimen Cloud-Speicherlösungen in einer .ZIP- oder .RAR-Datei, da diese Plattformen häufig von Malware-Sicherheitstools auf die weiße Liste gesetzt werden. Wenn das Opfer jedoch auf den Trick hereinfiel, die gezippte Datei herunterlud und ausführte, erhielt es diese drei benutzerdefinierten Malware-Stämme: PubLoad, ToneIns und ToneShell.

PubLoad ist ein Stage-Scheduler, der verwendet wird, um die Nutzlast der nächsten Stufe von Ihrem C2-Server herunterzuladen. Es fügt auch neue Registrierungsschlüssel und geplante Aufgaben hinzu, um die Persistenz festzulegen. ToneIns ist ein Installationsprogramm für ToneShell, die Haupthintertür. Obwohl der Prozess übermäßig komplex erscheinen mag, funktioniert er als Anti-Sandboxing-Mechanismus, erklärten die Forscher, da die Hintertür nicht in einer Debugging-Umgebung ausgeführt wird.

Die Hauptaufgabe der Malware besteht darin, Dateien hochzuladen, herunterzuladen und auszuführen. Sie können unter anderem Shells für den Datenaustausch im Intranet erstellen oder Ruheeinstellungen ändern. Die Malware hat laut den Forschern kürzlich einige neue Funktionen erhalten, was darauf hindeutet, dass Mustang Panda hart daran arbeitet, sein Toolset zu verbessern und von Tag zu Tag gefährlicher zu werden.

Über: BleepingComputer (Öffnet in einem neuen Tab)

Teilen Sie es