- Mustang Panda atualiza backdoor CoolClient com novo rootkit e recursos expandidos
- Novos recursos incluem monitoramento da área de transferência, detecção de credenciais de proxy e ecossistema aprimorado de plug-ins
- Malware atualizado usado contra governos na Ásia e na Rússia para espionagem e roubo de dados
Os hackers patrocinados pelo Estado chinês, Mustang Panda, atualizaram um de seus backdoors com novos recursos, tornando-o potencialmente ainda mais perigoso do que nunca.
Pesquisadores de segurança da Kaspersky Recentemente, detectamos o backdoor, chamado CoolClient, sendo usado em um ataque que implantou um rootkit totalmente novo.
O Mustang Panda é um conhecido ator de ameaças, cujas atividades se alinham perfeitamente com os interesses nacionais chineses: espionagem cibernética, roubo de dados e acesso persistente. Possui um grande arsenal de ferramentas personalizadas, incluindo backdoors, RATs, rootkits e muito mais – incluindo CoolClient, um backdoor que foi visto pela primeira vez em 2022 e geralmente é implantado como backdoor secundário, junto com PlugX e LuminousMoth.
Captura da área de transferência e detecção de credenciais de proxy HTTP
Agora, embora a variante legada já fosse perigosa, o Mustang Panda decidiu reformulá-la, disse Kaspersky.
Originalmente, o CoolClient era capaz de criar perfis e coletar detalhes do sistema e do usuário e registrar as teclas digitadas. Ele permitiu que o Mustang panda carregasse e excluísse arquivos, executasse tunelamento TCP e escuta de prosy reverso, bem como execução na memória. Apresentava diferentes mecanismos de persistência, desvios de UAC e carregamento lateral de DLL.
Agora, ele pode monitorar a área de transferência e capturar conteúdos copiados (por exemplo, senhas coletadas de gerenciadores de senhas ou informações de carteiras de criptomoedas armazenadas em outro lugar) e permite a detecção de credenciais de proxy HTTP. Ele também possui um ecossistema de plug-ins expandido, incluindo um plug-in de shell remoto para execução interativa de comandos, um plug-in de gerenciamento de serviços e um plug-in de gerenciamento de arquivos mais capaz.
Além disso, permite o roubo de credenciais através de infostealers, bem como o uso de serviços de nuvem legítimos para exfiltração silenciosa de dados roubados.
A Kaspersky disse que viu a versão atualizada do malware usado em ataques contra entidades governamentais em Mianmar, Mongólia, Malásia e Paquistão. Também foi encontrado em dispositivos pertencentes ao governo russo, mas isso não deveria ser surpresa, já que a China foi vista antes de tentar espionar seus aliados e parceiros.
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.