A ESET descobriu uma campanha de ciberataques na qual os sistemas de atualização de apps legítimas foram manipulados para também distribuir o malware MgBot. Este malware é o principal instrumento de ciberespionagem do grupo malicioso Evasive Panda, a quem a ESET atribui o ataque.
A investigação da ESET revela que esta campanha, que visou utilizadores na China continental, teve início em 2020. A maioria das vítimas do malware MgBot faz parte de uma organização não governamental internacional.
“O grupo Evasive Panda utiliza uma backdoor personalizada conhecida como MgBot, que tem registado pouca evolução desde a sua descoberta em 2014. Tanto quanto sabemos, a backdoor não foi utilizada por nenhum outro grupo. Portanto, atribuímos esta atividade ao Evasive Panda com elevada confiança,” comentou a propósito o investigador da ESET Facundo Muñoz, que descobriu esta campanha de ciberataques. “Durante nossa investigação, descobrimos que ao realizar atualizações automáticas, vários componentes legítimos de software de aplicações também descarregaram instaladores da backdoor MgBot a partir de URLs e endereços IP legítimos,” explicou o investigador.
Cenários prováveis de distribuição do malware
Quando os investigadores da ESET analisaram a probabilidade de vários métodos que poderiam explicar como os agentes maliciosos conseguiram distribuir o malware MgBot através de atualizações legítimas, dois cenários destacaram-se: (1) cadeia de fornecimento comprometida; e (2) ataques do tipo “adversary-in-the-middle” (AitM), que que permitem aos hackers intercetar e modificar comunicações entre duas partes, como um utilizador e um website ou serviço, para roubar informação.
“Dada a natureza específica dos ataques, especulamos que os agentes maliciosos tiveram de comprometer os servidores de atualização do QQ[i] para introduzir um mecanismo de identificação dos utilizadores visados, a fim de distribuir o malware, filtrar os utilizadores não visados e distribuir-lhes atualizações legítimas. Isto porque registámos casos em que as atualizações legítimas foram descarregadas através dos mesmos protocolos violados,” afirmou Muñoz. “Por outro lado, as abordagens AitM seriam possíveis se os agentes maliciosos conseguissem comprometer dispositivos vulneráveis, como routers ou gateways, e se os agentes maliciosos pudessem ter obtido acesso à infraestrutura do ISP.”
Funcionalidades do MgBot
A arquitetura modular da MgBot permite-lhe alargar a sua funcionalidade através da receção e implementação de módulos no sistema comprometido. As funcionalidades da backdoor incluem a gravação de teclas premidas; roubo de ficheiros, credenciais e conteúdos das aplicações de mensagens das apps QQ e WeChat; e a captura de streams de áudio e de texto copiado para a área de transferência.
O grupo Evasive Panda (também conhecido como BRONZE HIGHLAND e Daggerfly) é um grupo APT de língua chinesa, ativo desde pelo menos 2012. A ESET observou as atividades de ciberespionagem do grupo contra indivíduos na China continental, bem como em Hong Kong, Macau e Nigéria.
Para mais informação técnica, consulte a investigação da ESET.
[i] QQ é uma aplicação de mensagens instantâneas amplamente usada na China.
