Un nouvel outil pour votre ordinateur portable pourrait vous aider

Un acteur menaçant parrainé par l’État chinois connu sous le nom de Mustang Panda cible les organisations gouvernementales et les chercheurs du monde entier avec trois variantes de logiciels malveillants hébergées sur Google Drive, Dropbox et des solutions de stockage en nuage similaires (ouvre dans un nueva pestaña).

Les chercheurs de Trend Micro ont récemment détecté la nouvelle campagne de logiciels malveillants, ciblant principalement des organisations situées en Australie, au Japon, à Taïwan, au Myanmar et aux Philippines.

Mustang Panda a été lancé en mars 2022 et a duré au moins jusqu'en octobre. Les attaquants créeraient un e-mail de phishing, l'enverraient à une fausse adresse, tout en copiant la vraie victime. De cette façon, supposent les chercheurs, les attaquants voulaient minimiser les risques d'être détectés par des outils antivirus, des solutions de sécurité de messagerie, etc.

Livrer des fichiers malveillants

"Le sujet de l'e-mail peut être vide ou porter le même nom que le fichier malveillant", indique le rapport. Au lieu d'ajouter les adresses des victimes à l'en-tête "À" de l'e-mail, les attaquants ont utilisé de faux e-mails. Pendant ce temps, les adresses des vraies victimes étaient écrites dans l'en-tête "CC", ce qui peut échapper à l'analyse de sécurité et ralentir les enquêtes."

Une autre chose qu'ils ont faite pour éviter la détection a été de stocker les logiciels malveillants sur des solutions de stockage cloud légitimes, dans un fichier .ZIP ou .RAR, car ces plates-formes sont souvent mises sur liste blanche par les outils de sécurité des logiciels malveillants. Cependant, si la victime tombait dans le piège, téléchargeait et exécutait le fichier compressé, elle obtiendrait ces trois souches de logiciels malveillants personnalisés : PubLoad, ToneIns et ToneShell.

PubLoad est un planificateur d'étapes, utilisé pour télécharger la charge utile de l'étape suivante à partir de votre serveur C2. Il ajoute également de nouvelles clés de registre et des tâches planifiées pour définir la persistance. ToneIns est un programme d'installation pour ToneShell, qui est la porte dérobée principale. Bien que le processus puisse sembler trop complexe, il fonctionne comme un mécanisme anti-sandboxing, ont expliqué les chercheurs, car la porte dérobée ne fonctionnera pas dans un environnement de débogage.

Le travail principal du logiciel malveillant consiste à télécharger, télécharger et exécuter des fichiers. Vous pouvez créer des shells pour l'échange de données intranet ou modifier les paramètres de veille, entre autres. Selon les chercheurs, le malware a récemment reçu de nouvelles fonctionnalités, ce qui suggère que Mustang Panda travaille dur, améliore son ensemble d'outils et devient de plus en plus dangereux de jour en jour.

Via : BleepingComputer (Ouvre dans un nouvel onglet)

Share