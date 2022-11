Stando a quanto emerso da un recente report diffuso dai ricercatori di Trend Micro, un gruppo di hacker cinese, noto con il nome Mustang Panda, ha preso di mira diversi bersagli in Australa, Giappone, Taiwan e altre location allo scopo di diffondere malware personalizzato tramite Google Drive, oltre che mediante Dropbox.

Google Drive usato per distribuire link malevoli

Andando più in dettaglio, le vittime appartengono prevalentemente a enti governativi, di ricerca e accademici e il vettore d'attacco costituiva in un account Google usato per inviare link al servizio di cloud storage dell'azienda con lo scopo di bypassare i meccanismi di sicurezza, grazie alla reputazione positiva di cui godono sia Google Drive - che tra l'altro non è assolutamente nuovo a questo genere d'impiego - che Dropbox.

Una volta aperti i link, venivano scaricati dei file compressi in formato RAZ, ZIP o JAR, all’interno del quale erano contenuti malware come ToneShell, ToneIins e PubLoad.

Un aspetto particolarmente interessante della vicenda è che, anziché aggiungere gli indirizzi di posta elettronica delle vittime al campo “A”, gli hacker hanno adoperato email farlocche, mentre gli indirizzi reali erano inseriti nel campo “CC”, al fine di eludere le analisi di sicurezza e ostacolare le indagini.

Nel report, inoltre, Trend Micro evidenzia che Mustang Panda evolve continuamente le proprie tattiche di attacco per aggirare il rilevamento e sfruttare metodi di infezione che permettono di distribuire famiglie di malware su misura.

