O grupo de espionagem chinês Mustang Panda atualizou seu backdoor CoolClient para uma nova variante capaz de roubar credenciais armazenadas em navegadores e monitorar o conteúdo da área de transferência (clipboard).
Pesquisadores da Kaspersky revelaram que essa versão do malware também está sendo usada para implantar um rootkit até então desconhecido, embora a análise técnica detalhada fique para um relatório futuro.
O CoolClient está associado ao Mustang Panda desde 2022, sendo empregado como um backdoor secundário junto a outras ferramentas, como PlugX e LuminousMoth.
A nova versão do malware foi detectada em ataques contra órgãos governamentais de países como Mianmar, Mongólia, Malásia, Rússia e Paquistão.
Os ataques ocorreram por meio da instalação via software legítimo da Sangfor, empresa chinesa especializada em cibersegurança, computação em nuvem e infraestrutura de TI.
Anteriormente, o CoolClient era disseminado por DLL side-loading, explorando binários assinados de programas conhecidos, como Bitdefender, VLC Media Player e Ulead PhotoImpact.
Segundo a Kaspersky, o backdoor coleta informações detalhadas sobre o sistema comprometido e seus usuários, incluindo nome do computador, versão do sistema operacional, memória RAM, dados de rede, além das descrições e versões dos drivers carregados.
O malware utiliza arquivos criptografados .DAT em uma execução multiestágio e mantém persistência por meio de modificações no Registro do Windows, criação de novos serviços e agendamento de tarefas.
Além disso, é capaz de contornar o Controle de Conta de Usuário (UAC) e realizar escalonamento de privilégios.
O núcleo do CoolClient está embutido em uma DLL dentro de um arquivo chamado main.dat.
“Ao ser iniciado, ele verifica se o keylogger, o ladrão da área de transferência e o sniffer de credenciais de proxy HTTP estão ativados”, explicam os pesquisadores.
As funções principais — como coleta de informações do sistema e do usuário, operações com arquivos, keylogging, tunelamento TCP, proxy reverso e execução em memória de plugins obtidos dinamicamente — estão presentes tanto nas versões antigas quanto na mais recente, porém aprimoradas nesta última.
A inovação mais marcante desta atualização é o módulo de monitoramento da área de transferência, o rastreamento ativo do título da janela em uso e o sniffer de credenciais de proxy HTTP, que analisa diretamente pacotes de rede e extrai cabeçalhos.
O ecossistema de plugins também foi ampliado, incluindo um para shell remoto, outro para gerenciamento de serviços e um para controle avançado de arquivos.
O plugin de gerenciamento de serviços permite que os operadores listem, criem, iniciem, parem, removam e modifiquem a configuração de inicialização dos serviços do Windows.
Já o plugin de arquivos oferece operações estendidas, como enumeração de drives, busca de arquivos, compressão em ZIP, mapeamento de unidades de rede e execução de arquivos.
A funcionalidade de shell remoto é implementada por um plugin que cria um processo oculto do cmd.exe, redirecionando suas entradas e saídas padrão por meio de pipes, o que possibilita a execução interativa de comandos pelo canal de comando e controle (C2).
Outra novidade é o uso de infostealers para coletar credenciais diretamente dos navegadores.
A Kaspersky identificou três famílias distintas: uma direcionada ao Chrome (variante A), outra ao Edge (variante B) e uma terceira, mais versátil, que ataca qualquer navegador baseado em Chromium (variante C).
Um ponto importante dessa atualização é que o roubo de dados dos navegadores e a exfiltração de documentos agora utilizam tokens de API embutidos para acessar serviços públicos legítimos, como Google Drive e Pixeldrain, dificultando a detecção.
O Mustang Panda segue evoluindo seu arsenal e modos operacionais.
No mês passado, a Kaspersky registrou um novo loader em modo kernel, usado para instalar uma variante do backdoor ToneShell em sistemas governamentais.
Além disso, o Escritório de Segurança Nacional de Taiwan classificou o Mustang Panda como uma das ameaças mais ativas e volumosas direcionadas à sua infraestrutura crítica no início deste mês.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...