{"id":1586435,"date":"2025-02-18T20:04:29","date_gmt":"2025-02-18T20:04:29","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-chinos-explotan-mavinject-exe-para-evadir-la-deteccion-en-ataques-ciberneticos-especificos\/"},"modified":"2025-02-18T20:04:34","modified_gmt":"2025-02-18T20:04:34","slug":"los-piratas-informaticos-chinos-explotan-mavinject-exe-para-evadir-la-deteccion-en-ataques-ciberneticos-especificos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-chinos-explotan-mavinject-exe-para-evadir-la-deteccion-en-ataques-ciberneticos-especificos\/","title":{"rendered":"Los piratas inform\u00e1ticos chinos explotan Mavinject.exe para evadir la detecci\u00f3n en ataques cibern\u00e9ticos espec\u00edficos"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>18 de febrero de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Espionaje cibern\u00e9tico \/ malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha observado que el actor de amenaza patrocinado por el estado chino conocido como Mustang Panda emplea una t\u00e9cnica novedosa para evadir la detecci\u00f3n y mantener el control sobre los sistemas infectados.<\/p>\n

Esto implica el uso de una utilidad leg\u00edtima de Microsoft Windows llamado Microsoft Application Virtualization Injector (Mavinject.exe) para inyectar la carga \u00fatil maliciosa del actor de la amenaza en un proceso externo, Waitfor.exe, cada vez que se detecta la aplicaci\u00f3n antivirus ESET en ejecuci\u00f3n, tendencia a Micro Micro dicho<\/a> En un nuevo an\u00e1lisis.<\/p>\n

“El ataque implica dejar m\u00faltiples archivos, incluidos ejecutables leg\u00edtimos y componentes maliciosos, y el despliegue de un PDF se\u00f1uelo para distraer a la v\u00edctima”, se\u00f1alaron los investigadores de seguridad Nathaniel Morales y Nick Dai.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Adem\u00e1s, Earth Preta utiliza la f\u00e1brica de configuraci\u00f3n, un constructor de instaladores para el software de Windows, para soltar y ejecutar la carga \u00fatil; esto les permite evadir la detecci\u00f3n y mantener la persistencia en los sistemas comprometidos”.<\/p>\n

El punto de partida de la secuencia de ataque es un ejecutable (“irsetup.exe”) que sirve como un gotero para varios archivos, incluido el documento Lure que est\u00e1 dise\u00f1ado para dirigirse a los usuarios con sede en Tailandia. Esto alude a la posibilidad de que los ataques puedan haber involucrado el uso de correos electr\u00f3nicos de phishing de lanza para destacar a las v\u00edctimas.<\/p>\n

\"Hackers<\/a><\/div>\n

El binario luego procede a ejecutar una aplicaci\u00f3n leg\u00edtima de Electronic Arts (EA) (“Originlegacycli.exe”) para que se vaya a un DLL Rogue llamado “eacore.dll” que es una versi\u00f3n modificada de la puerta trasera de Toneshell atribuida a la tripulaci\u00f3n de pirater\u00eda.<\/p>\n

El n\u00facleo de la funci\u00f3n del malware es una verificaci\u00f3n para determinar si dos procesos asociados con las aplicaciones antivirus ESET (“ekrn.exe” o “egui.exe”) se ejecutan en el host comprometido, y de ser as\u00ed, ejecute “waitfor.exe” y Luego use “Mavinject.exe” para ejecutar el malware sin ser marcado por \u00e9l.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Mavinject.exe, que es capaz de la ejecuci\u00f3n proxy del c\u00f3digo malicioso al inyectar un proceso en ejecuci\u00f3n como un medio para evitar la detecci\u00f3n de ESET, se usa para inyectar el c\u00f3digo malicioso en \u00e9l”, explicaron los investigadores. “Es posible que Earth Preta haya usado Mavinject.exe despu\u00e9s de probar la ejecuci\u00f3n de su ataque a las m\u00e1quinas que usaron el software ESET”.<\/p>\n

El malware finalmente descifra el c\u00f3digo de shell de integraci\u00f3n que le permite establecer conexiones con un servidor remoto (“www.MilitaryTC[.]com: 443 “) para recibir comandos para establecer un shell inverso, mover archivos y eliminar archivos.<\/p>\n

“El malware de Earth Preta, una variante de la puerta trasera de Toneshell, est\u00e1 latido con una aplicaci\u00f3n leg\u00edtima de artes electr\u00f3nicas y se comunica con un servidor de comando y control para la exfiltraci\u00f3n de datos”, dijeron los investigadores.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n