Se ha surgido una nueva campaña cibernética sofisticada dirigida a los usuarios de Windows a través de una variante de malware engañosa conocida como Toneshell, que se disfraza de la legítima Google Chrome Browser.
El grupo avanzado del grupo de amenaza persistente (APT) Mustang Panda, conocida por su orientación estratégica de los sectores gubernamentales y de tecnología, ha implementado esta última herramienta como parte de una operación de espionaje continua diseñada para infiltrarse en redes corporativas y robar información confidencial.
La campaña de malware aprovecha las técnicas de ingeniería social para distribuir Toneshell a través de sitios web comprometidos y correos electrónicos de phishing, a menudo presentándose como un paquete de actualización o instalación de navegador Chrome.
Los vectores de infección iniciales incluyen archivos adjuntos de correo electrónico maliciosos disfrazados de instaladores de software legítimos y descargas de transmisión de sitios web comprometidos que redirigen a los usuarios a las páginas de descarga de Chrome.
Cadena de ataque (fuente – LinkedIn)
Analista de inteligencia de amenazas registradas de Crest Kyaw Pyiyt Htet (Mikoyan) anotado que Toneshell exhibe capacidades de evasión sofisticadas, utilizando técnicas de hueco de procesos para inyectar código malicioso en procesos legítimos del sistema mientras mantiene la aparición de la actividad normal del navegador Chrome.
El malware establece la persistencia a través de modificaciones del registro y la creación de tareas programadas, asegurando el acceso continuo incluso después de reiniciar el sistema.
El impacto de esta campaña se extiende más allá de los usuarios individuales, ya que Toneshell funciona como una puerta trasera que permite el acceso remoto, la exfiltración de datos y el movimiento lateral dentro de las redes comprometidas.
Las organizaciones en múltiples sectores han informado una actividad de red sospechosa consistente con los patrones operativos de Mustang Panda, incluidas las transferencias de datos no autorizadas y las actividades de reconocimiento dirigidas a la propiedad intelectual y las comunicaciones gubernamentales.
Mecanismo de infección y entrega de carga útil
Toneshell emplea un proceso de implementación de varias etapas que comienza con un componente de cuentagotas diseñado para evadir los sistemas de detección de puntos finales.
Capacidades de la función API (fuente – LinkedIn)
Tras la ejecución, el malware crea un proceso de Chrome hueco e inyecta su carga útil utilizando la siguiente técnica:-
Manejar hprocess = createProcess (l “chrome.exe”, nulo, nulo, nulo, falso, create_suspended, null, null, & si, & pi); VirtualAllOcex (HProcess, NULL, PayOg_Size, MEM_COMMIT, PAGE_EXECUTE_READWRITE); WriteProCessMemory (hprocess, asignated_memory, malicioso_payload, payload_size, null);
El malware establece la comunicación con los servidores de comando y control a través de canales encriptados, imitando los patrones de tráfico de redes de Chrome de Chrome.
Este enfoque sofisticado permite que Toneshell permanezca sin ser detectada mientras mantiene el acceso persistente a sistemas comprometidos, destacando el panorama de amenazas en evolución que enfrenta a los usuarios y organizaciones de Windows en todo el mundo.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
