O ator de ameaças patrocinado pelo estado chinês conhecido como Mustang Panda foi observado empregando uma técnica inovadora para evadir detecção e manter controle sobre sistemas infectados.
Isso envolve o uso de uma utilidade legítima do Microsoft Windows chamada Microsoft Application Virtualization Injector (MAVInject.exe) para injetar o payload malicioso do ator de ameaça em um processo externo, waitfor.exe, sempre que a aplicação antivírus da ESET é detectada em execução, disse a Trend Micro em uma nova análise.
"O ataque envolve o lançamento de múltiplos arquivos, incluindo executáveis legítimos e componentes maliciosos, e a implantação de um PDF isca para distrair a vítima", notaram os pesquisadores de segurança Nathaniel Morales e Nick Dai.
Além disso, o Earth Preta utiliza o Setup Factory, um construtor de instaladores para software Windows, para soltar e executar o payload; isso permite que evitem detecção e mantenham persistência em sistemas comprometidos.
O ponto de partida da sequência de ataque é um executável ("IRSetup.exe") que serve como um dropper para vários arquivos, incluindo o documento isca que é projetado para visar usuários baseados na Tailândia.
Isso alude à possibilidade de que os ataques possam ter envolvido o uso de e-mails de spear-phishing para selecionar as vítimas.
O binário, então, procede para executar uma aplicação legítima da Electronic Arts (EA) ("OriginLegacyCLI.exe") para realizar o sideload de uma DLL maliciosa chamada "EACore.dll", que é uma versão modificada do backdoor TONESHELL atribuída à equipe de hacking.
A principal função do malware é uma verificação para determinar se dois processos associados às aplicações antivírus da ESET -- "ekrn.exe" ou "egui.exe" -- estão rodando no host comprometido e, se estiverem, executar "waitfor.exe" e então usar "MAVInject.exe" para rodar o malware sem ser marcado por ele.
"Waitfor.exe" é uma utilidade nativa do Windows que cuida da sincronização de processos entre uma ou mais máquinas em rede enviando ou aguardando por um sinal ou comando.
"MAVInject.exe, que é capaz de execução proxy de código malicioso ao injetá-lo em um processo em execução como um meio de evadir a detecção da ESET, é então usado para injetar o código malicioso", explicaram os pesquisadores.
É possível que o Earth Preta tenha usado o MAVInject.exe após testar a execução de seu ataque em máquinas que utilizavam o software da ESET.
O malware, por fim, decifra o shellcode embutido que lhe permite estabelecer conexões com um servidor remoto ("www.militarytc[.]com:443") para receber comandos para estabelecer um shell reverso, mover arquivos e deletar arquivos.
"O malware do Earth Preta, uma variante do backdoor TONESHELL, é sideloaded com uma aplicação legítima da Electronic Arts e se comunica com um servidor de comando e controle para exfiltração de dados", disseram os pesquisadores.
Após a publicação da história, a ESET compartilhou o seguinte comunicado:
"Às 15:30 CET, 18 de fevereiro de 2025, as equipes de comunicação da ESET foram informadas sobre um blog de pesquisa publicado pela Trend Micro que nomeia a "aplicação antivírus" da ESET como o alvo do Grupo APT Mustang Panda a.k.a. Earth Preta.
Discordamos das conclusões publicadas de que este ataque "efetivamente evita o antivírus da ESET".
Isso não é uma evasão e estamos perplexos que a Trend Micro não tenha alertado a ESET para discutir suas descobertas.
A técnica reportada não é novidade e a tecnologia da ESET tem protegido contra ela há muitos anos.
Quanto a esta amostra específica de malware, a ESET havia publicado anteriormente detalhes sobre ela através de seu serviço premium de Cyber Threat Intelligence e adicionou detecção específica desde janeiro.
Atribuímos a ameaça ao grupo APT CeranaKeeper alinhado à China.
Os usuários da ESET estão protegidos contra este malware e técnica.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...