Китайская группировка хакеров Mustang Panda научилась обходить защиту антивирусных программ и контролировать зараженные компьютеры. Ученые из компании Trend Micro выявили, что хакеры используют программу Windows с названием MAVInject.exe для внедрения вредоносного кода в процесс «waitfor.exe», если на компьютере установлен антивирус ESET.
Атака начинается с загрузки нескольких файлов, включая легитимные и вредоносные компоненты, а также подставной PDF-документ для отвлечения внимания жертвы. Для скрытия вредоносного кода используется инструмент Setup Factory, который помогает выполнить код незаметно.
Первоначальный вредоносный файл IRSetup.exe доставляет на компьютер несколько компонентов, включая документ-приманку, ориентированный на пользователей из Таиланда. Затем запускается легитимное приложение Electronic Arts для загрузки поддельной библиотеки EACore.dll, которая содержит вредоносный код.
Главная цель вредоноса — проверить работу антивируса ESET. Если антивирус обнаружен, вредонос выполняет «waitfor.exe» и использует «MAVInject.exe» для запуска кода без обнаружения.
Хакеры предположительно тестировали атаку на компьютерах с антивирусом ESET, чтобы убедиться в ее эффективности. Завершающий этап атаки заключается в установлении связи с удаленным сервером, что позволяет хакерам загружать и выгружать файлы, а также управлять зараженным компьютером удаленно.
Таким образом, китайские хакеры используют легитимные инструменты Windows для скрытого выполнения вредоносного кода и обхода антивирусной защиты, чтобы долго сохранять контроль над зараженными компьютерами.
