Se ha observado que el actor de amenaza patrocinado por el estado chino conocido como Mustang Panda emplea una técnica novedosa para sortear la detección y permanecer el control sobre los sistemas infectados.
Esto implica el uso de una utilidad legítima de Microsoft Windows de Windows llamado Microsoft Application Virtualization Injector (Mavinject.exe) para inyectar la carga útil maliciosa del actor de la amenaza en un proceso forastero, Waitfor.exe, cada vez que se detecta la aplicación antivirus ESET en ejecución, Tend Micro dijo en un nuevo disección.
“El ataque implica dejar múltiples archivos, incluidos ejecutables legítimos y componentes maliciosos, y el despliegue de un PDF señuelo para distraer a la víctima”, señalaron los investigadores de seguridad Nathaniel Morales y Nick Dai.
“Adicionalmente, Earth Preta utiliza la manufactura de configuración, un constructor de instaladores para el software de Windows, para soltar y ejecutar la carga útil; esto les permite sortear la detección y permanecer la persistencia en los sistemas comprometidos”.
El punto de partida de la secuencia de ataque es un ejecutable (“irsetup.exe”) que sirve como un cuentagotas para varios archivos, incluido el documento Lure que está diseñado para dirigirse a los usuarios con sede en Tailandia. Esto alude a la posibilidad de que los ataques puedan acontecer involucrado el uso de correos electrónicos de phishing de venablo para destacar a las víctimas.
El binario luego procede a ejecutar una aplicación legítima de Electronic Arts (EA) (“Originlegacycli.exe”) para que se vaya a un DLL Rogue llamado “eacore.dll” que es una traducción modificada de la puerta trasera de Toneshell atribuida a la tripulación de piratería.
El núcleo de la función del malware es una demostración para determinar si dos procesos asociados con las aplicaciones antivirus ESET (“ekrn.exe” o “egui.exe”) se ejecutan en el host comprometido, y de ser así, ejecute “waitfor.exe” y Luego use “Mavinject.exe” para ejecutar el malware sin ser impresionado por él.
“Mavinject.exe, que es capaz de la ejecución proxy del código malvado al inyectar un proceso en ejecución como un medio para evitar la detección de ESET, se usa para inyectar el código malvado en él”, explicaron los investigadores. “Es posible que Earth Preta haya usado Mavinject.exe posteriormente de probar la ejecución de su ataque a las máquinas que usaron el software ESET”.
El malware finalmente descifra el código de shell de incrustado que le permite establecer conexiones con un servidor remoto (“www.militarytc (.) Com: 443”) para percibir comandos para establecer un shell inverso, mover archivos y eliminar archivos.
“El malware de Earth Preta, una transformación de la puerta trasera de Toneshell, está palpitación con una aplicación legítima de artes electrónicas y se comunica con un servidor de comando y control para la exfiltración de datos”, dijeron los investigadores.
