spot_img
10.1 C
São Paulo
spot_img
HomeTop Global NewsAI"Descubra como o Mustang Panda invade sua máquina!"

“Descubra como o Mustang Panda invade sua máquina!”

alegontdr
By alegontdr

Análise da Campanha de Ciberespionagem do Mustang Panda

A *Mustang Panda*, um conhecido grupo de ameaças persistentes avançadas (APT) provenientes da China, é apontado como responsável por uma sofisticada e contínua campanha de ciberespionagem. O esquema inicia-se com um e-mail malicioso e, eventualmente, utiliza o *Visual Studio Code* (VS Code) para distribuir um malware baseado em Python, que concede aos atacantes acesso remoto não autorizado e persistente a máquinas infectadas.

Descoberta da Campanha

A pesquisa realizada pelo laboratório Cyble Research and Intelligence Lab (CRIL) revelou que a campanha se espalha através de um arquivo .lnk disfarçado como um arquivo de instalação legítimo, que baixa um pacote de distribuição Python. Na verdade, o arquivo executa um script Python malicioso. O ataque depende do uso do VS Code, que, caso não esteja presente no sistema, é instalado pelo atacante através do comando da interface de linha de comando (CLI) do VS Code.

“O ator de ameaças usa uma ferramenta do VS Code para iniciar um túnel remoto e recuperar um código de ativação, que pode ser usado para obter acesso remoto não autorizado à máquina da vítima.”

Objetivo: Acesso Não Autorizado

O ataque se inicia com a execução do arquivo .lnk, que exibe uma mensagem falsa de “instalação bem-sucedida” em chinês, enquanto silenciosamente baixa componentes adicionais em segundo plano. Dentre esses componentes, está um pacote de distribuição Python, que eventualmente transfere um script malicioso.

O script, ao ser executado, verifica se o VS Code já está instalado no sistema. Se não encontrado, ele prossegue para baixar a interface de linha de comando do VS Code a partir de uma fonte da Microsoft. Em seguida, o script configura uma tarefa para garantir a persistência de suas atividades maliciosas, incluindo a criação de um túnel remoto.

Estabelecendo o Túnel Remoto

Os atacantes utilizam o *VS Code Remote-Tunnels*, uma extensão usada habitualmente para conectar-se a uma máquina remota. Essa abordagem permite que os usuários acessem a máquina de forma segura através de um cliente VS Code, sem a necessidade de SSH. Ao configurar o túnel remoto, o script associa automaticamente à conta do GitHub para autenticação e extrai um código de ativação.

Coleta de Dados Sensíveis

O malware é projetado para extrair uma lista de processos em execução na máquina da vítima e enviá-los diretamente para o servidor de comando e controle (C2). Além disso, coleta dados sensíveis, como configurações de idioma, localização geográfica, nome do computador, nome de usuário e detalhes sobre privilégios do usuário.

Após receber os dados exfiltrados, os atacantes conseguem acessar o dispositivo remotamente utilizando uma conta do GitHub. Esse acesso permite que o ator de ameaças execute comandos pelo terminal, instale malware, extraia informações sensíveis ou altere configurações do sistema.

A defesa contra APTs exige Vigilância Cibernética

No momento em que o Cyble publicou a pesquisa, o script malicioso em Python não apresentava detecções no *VirusTotal*, dificultando a identificação por ferramentas de segurança padrão.

Recomendações de Mitigação

  • Uso de soluções avançadas de proteção de endpoints com análise comportamental e capacidades de aprendizado de máquina.
  • Revisão regular das tarefas agendadas em todos os sistemas para identificar entradas não autorizadas.
  • Realização de treinamentos para educar os usuários sobre os riscos de abrir arquivos ou links suspeitos.
  • Limitação de permissões de usuários para instalação de software, especialmente ferramentas que podem ser exploradas, como o VS Code.
  • Implementação de listas de permissões de aplicativos para controlar quais aplicações podem ser instaladas e executadas nos sistemas.

Essas medidas, quando adequadamente aplicadas, podem ajudar a proteger as organizações contra campanhas sofisticadas, como a do grupo Mustang Panda.

#Cibersegurança #Ciberespionagem #MustangPanda #APT #Mitigação

2024-10-02T15:18:01.000Z
Elizabeth Montalbano, Contributing Writer
ref:https://www.darkreading.com/endpoint-security/python-malware-slithers-legit-vs-code

Previous article
“Você está preparado para os mitos da cibersegurança?”
Next article
“Descubra os Segredos da Análise Dinâmica de Malware!”

latest articles

explore more

Bem-vindo ao meu site! Aqui você encontrará assuntos que fazem parte do meu dia a dia, com temas variados que refletem meus interesses e experiências. Sente-se, pegue um café e aproveite o conteúdo que preparei com carinho. Tenho certeza de que você vai curtir!

most viewed

trending right now

Copyright © Alegon.

Disclaimer

FAQ

Cookies

Privacy

About

Contact us