Um novo coletivo hacker perigoso conhecido como Mustang Panda está alavancando documentos macro-infectados para usuários-alvo em todo o mundo. A campanha de grande escala parece ser contra ambos sectores público e privado. No momento não há informações disponíveis sobre as intenções e identidade dos hackers.
Documentos infectados usados por um novo grupo de hackers chamado Mustang Panda
Um novo grupo de hackers, até agora desconhecido para nós, foi encontrado para distribuir vários documentos infectados por macros contra usuários. Os hackers parecem ser originários da China e as redes alvo incluem usuários privados e empresas públicas. Os ataques são globais e não se limitam apenas à China. O que sabemos é que o grupo começou a espalhar malware no ano passado, mas desde então atualizou suas táticas para incluir novos procedimentos. Algumas das metas confirmadas são as seguintes: China Center (organização sem fins lucrativos), Partido político do Vietnã e residentes do Sudeste Asiático. Os países que foram visados incluem a Mongólia, Alemanha, Myanmar, Vietnã e Paquistão.
Os hackers se concentraram em usar técnicas de engenharia social para manipular os alvos para abrir os documentos infectados. Esse geralmente é o caso com mensagens de e-mail que incluem scripts e conteúdos perigosos. Na maioria dos casos, eles se passarão por empresas ou serviços conhecidos e incluirão os scripts necessários. Dependendo da técnica exata, os arquivos perigosos podem ser anexados ou vinculados ao conteúdo.
No final, os alvos receberão um arquivo zip que conterá um arquivo .lnk dentro que é mascarado com uma extensão dupla. Se o arquivo for aberto e os arquivos incluídos forem iniciados, o malware relevante será instalado. Nas campanhas de ataque analisadas, houve duas cargas úteis principais que são entregues às vítimas:
- Cobalt Strike Beacon - Esta é uma carga perigosa que pode ser altamente personalizada para diferentes ataques. Normalmente é usado para coletar informações na Internet e pode ser usado para vigilância dos usuários vítimas. Muitas de suas funcionalidades estão focadas em dar aos criminosos a possibilidade de executar seus próprios comandos, recuperar informações e dados, bem como modificar a configuração do sistema.
- PlugX Trojan - Este é um cavalo de Tróia poderoso que já conhecemos há vários anos. Ele passou por diferentes atualizações e versões e é composto por vários módulos. Ele pode ser usado para assumir o controle da máquina comprometida e permitir que os controladores do hacker sequestrem informações, incluindo informações pessoais. O que é mais perigoso é a capacidade de espionar os usuários a qualquer momento e manipular o sistema de todas as maneiras possíveis.
Esses ataques provavelmente continuarão no futuro com uma campanha ainda maior. O coletivo criminoso parece ter os recursos para atingir tais redes. Prevemos que eles podem usar outras táticas ou expandir sua experiência com engenharia social e phishing.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: