Hacker cinesi usano strumento Microsoft per aggirare gli antivirus

Un gruppo di hacker noto come Mustang Panda è stato individuato mentre sfruttava un software legittimo di Microsoft, il Microsoft Application Virtualization Injector, per introdurre codice dannoso all'interno di processi autorizzati ed evitare il riconoscimento da parte degli antivirus.

La scoperta è stata fatta dai ricercatori di Trend Micro, che monitorano questo gruppo con il nome di Earth Preta. Secondo le analisi, gli attacchi condotti da Mustang Panda hanno compromesso oltre 200 dispositivi dal 2022. Le principali vittime sono enti governativi situati nella regione Asia-Pacifico, presi di mira attraverso campagne di spear-phishing. Gli attaccanti inviano email fraudolente che sembrano provenire da organizzazioni affidabili, come istituzioni governative, ONG, think tank o forze dell'ordine, con l'obiettivo di indurre le vittime ad aprire allegati pericolosi.

Le email contengono un file che funge da dropper, ovvero un programma progettato per installare altri componenti dannosi. Questo file, realizzato con Setup Factory, rilascia diversi elementi nella cartella C:\ProgramData\session, tra cui file legittimi, il codice malevolo e un documento PDF esca, usato per sviare i sospetti dell’utente. Se all'interno del sistema attaccato è installato un antivirus ESET, Mustang Panda impiega un metodo avanzato per eluderne i controlli.

Cosa sfruttano questi hacker cinesi?

Gli hacker sfruttano software già presenti in Windows 10 e versioni successive, in particolare utilizzano MAVInject.exe per inserire il loro payload dannoso in waitfor.exe, un programma autentico di Windows. Poiché quest'ultimo è considerato sicuro dal sistema operativo, il malware riesce a mimetizzarsi tra i processi di sistema, evitando la segnalazione da parte di ESET e probabilmente di altri software di sicurezza.

Il codice malevolo iniettato è una variante modificata della backdoor TONESHELL, che viene nascosta all’interno di un file DLL. Una volta attivato, il malware si collega a un server di comando e controllo, trasmettendo informazioni sul sistema infetto e identificando l’utente compromesso. Inoltre, consente agli hacker di ottenere accesso remoto alla macchina, eseguire comandi e gestire file a distanza. Secondo Trend Micro, questa nuova versione del malware è stata personalizzata da Mustang Panda, in base alle sue caratteristiche specifiche e alle tecniche di decrittografia dei pacchetti precedentemente documentate.

Tuttavia, ESET non condivide completamente questa analisi, sostenendo che la tecnica utilizzata non sia nuova e che i suoi software offrono protezione da questa minaccia da anni. Inoltre, afferma che il malware in questione era già stato segnalato tramite il loro Cyber Threat Intelligence, attribuendo l’attacco al gruppo APT CeranaKeeper, anch’esso legato alla Cina, e aggiungendo una specifica firma di rilevamento già a gennaio.