- Mustang Panda atualiza backdoor CoolClient com novo rootkit e recursos estendidos
- Novos recursos incluem monitoramento da área de transferência, detecção de credenciais de proxy e um ecossistema de plugins aprimorado
- Malware atualizado usado para espionagem e roubo de dados contra governos asiáticos e russos
Os hackers patrocinados pelo estado chinês do Mustang Panda renovaram um de seus backdoors com novos recursos, tornando-o mais perigoso do que nunca.
Os pesquisadores de segurança da Kaspersky descobriram recentemente que o backdoor, chamado CoolClient, estava sendo usado em um ataque que implantou um novo rootkit.
O Mustang Panda é um conhecido ator de ameaças cujas atividades se alinham perfeitamente com os interesses nacionais da China: espionagem cibernética, roubo de dados e acesso persistente. Possui um grande arsenal de ferramentas personalizadas, incluindo backdoors, RATs, rootkits e muito mais – incluindo CoolClient, um backdoor visto pela primeira vez em 2022 e geralmente implantado como backdoor secundário, junto com PlugX e LuminousMoth.
Captura de painel e detecção de credenciais de proxy HTTP
Agora, por mais perigosa que fosse a variante legada, o Mustang Panda decidiu fazer uma reforma, disse Kaspersky.
Inicialmente, o CoolClient foi capaz de criar perfis e coletar detalhes do sistema e do usuário e registrar as teclas digitadas. Ele permitiu que o Mustang Panda carregasse e excluísse arquivos, executasse túneis TCP e ouvisse prosy reverso, além de executar na memória. Ele tinha diferentes mecanismos de persistência, desvios de UAC e carregamento lateral de DLL.
Ele agora monitora a área de transferência e captura conteúdo copiado (como senhas recebidas de gerenciadores de senhas ou informações de carteiras de criptomoedas armazenadas em outro lugar) e permite a detecção de credenciais de proxy HTTP. Ele também possui um extenso ecossistema de plug-ins, incluindo um plug-in de shell remoto para executar comandos interativos, um plug-in de gerenciamento de serviços e um plug-in de gerenciamento de arquivos mais capaz.
Também permite o roubo de credenciais por infostealers, bem como o uso de serviços de nuvem legítimos para silenciar dados roubados.
A Kaspersky disse ter visto uma versão atualizada do malware usado em ataques contra instituições governamentais em Mianmar, Mongólia, Malásia e Paquistão. Também foi encontrado em dispositivos do governo russo, mas isso não deveria ser uma surpresa, já que a China já foi flagrada tentando espionar seus aliados e parceiros antes.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber notícias, análises, unboxings de vídeos e receber atualizações regulares nossas WhatsApp também
