Se ha observado que el actor de amenaza patrocinado por el estado chino conocido como Mustang Panda emplea una técnica novedosa para evadir la detección y mantener el control sobre los sistemas infectados.
Esto implica el uso de una utilidad legítima de Microsoft Windows de Windows llamado Microsoft Application Virtualization Injector (Mavinject.exe) para inyectar la carga útil maliciosa del actor de la amenaza en un proceso externo, Waitfor.exe, cada vez que se detecta la aplicación antivirus ESET en ejecución, Tend Micro dijo en un nuevo análisis.
«El ataque implica dejar múltiples archivos, incluidos ejecutables legítimos y componentes maliciosos, y el despliegue de un PDF señuelo para distraer a la víctima», señalaron los investigadores de seguridad Nathaniel Morales y Nick Dai.
«Además, Earth Preta utiliza la fábrica de configuración, un constructor de instaladores para el software de Windows, para soltar y ejecutar la carga útil; esto les permite evadir la detección y mantener la persistencia en los sistemas comprometidos».
El punto de partida de la secuencia de ataque es un ejecutable («irsetup.exe») que sirve como un gotero para varios archivos, incluido el documento Lure que está diseñado para dirigirse a los usuarios con sede en Tailandia. Esto alude a la posibilidad de que los ataques puedan haber involucrado el uso de correos electrónicos de phishing de lanza para destacar a las víctimas.
El binario luego procede a ejecutar una aplicación legítima de Electronic Arts (EA) («Originlegacycli.exe») para que se vaya a un DLL Rogue llamado «eacore.dll» que es una versión modificada de la puerta trasera de Toneshell atribuida a la tripulación de piratería.
El núcleo de la función del malware es una verificación para determinar si dos procesos asociados con las aplicaciones antivirus ESET («ekrn.exe» o «egui.exe») se ejecutan en el host comprometido, y de ser así, ejecute «waitfor.exe» y Luego use «Mavinject.exe» para ejecutar el malware sin ser marcado por él.
«Mavinject.exe, que es capaz de la ejecución proxy del código malicioso al inyectar un proceso en ejecución como un medio para evitar la detección de ESET, se usa para inyectar el código malicioso en él», explicaron los investigadores. «Es posible que Earth Preta haya usado Mavinject.exe después de probar la ejecución de su ataque a las máquinas que usaron el software ESET».
El malware finalmente descifra el código de shell de incrustado que le permite establecer conexiones con un servidor remoto («www.militarytc (.) Com: 443») para recibir comandos para establecer un shell inverso, mover archivos y eliminar archivos.
«El malware de Earth Preta, una variante de la puerta trasera de Toneshell, está latido con una aplicación legítima de artes electrónicas y se comunica con un servidor de comando y control para la exfiltración de datos», dijeron los investigadores.
