Siti Net fasulli che pubblicizzano Google Chrome sono stati utilizzati per distribuire installatori dannosi per un Trojan di accesso remoto chiamato Valleyrat.
Il malware, rilevato per la prima volta nel 2023, è attribuito a un attore di minaccia rintracciato come Silver Fox, con precedenti campagne di attacco che colpiscono principalmente regioni di lingua cinese come Hong Kong, Taiwan e Cina continentale.
“Questo attore ha sempre più mirato ruoli chiave all’interno delle organizzazioni, in particolare nel dipartimento finanziario, contabile e vendite-evidenziando un focus strategico su posizioni di alto valore con l’accesso a dati e sistemi sensibili”, il ricercatore di Morphisec Shmuel Uzan disse In un rapporto pubblicato all’inizio di questa settimana.
Presto catene di attacco sono stati osservati consegnando Valleyrat insieme advert altre famiglie di malware come Purple Fox e Gh0st Rat, quest’ultimo dei quali è stato ampiamente usato da vari Gruppi di hacking cinesi.
Già nel mese scorso, gli installatori contraffatti per software program legittimo hanno servito come meccanismo di distribuzione per il Trojan per mezzo di un caricatore di DLL chiamato PNGPlug.
Vale la pena notare che lo è uno schema di obtain drive-by destinato agli utenti di Home windows di lingua cinese precedentemente usato Distribuire il ratto GH0ST utilizzando pacchetti di installazione dannosi per il browser Net Chrome.
In modo simile, l’ultima sequenza di attacchi associata a Valleyrat comporta l’uso di un falso sito Net di Google Chrome per ingannare gli obiettivi nel obtain di un archivio zip contenente un eseguibile (“setup.exe”).
Il binario, al momento dell’esecuzione, controlla se ha privilegi di amministratore e quindi procede a scaricare altri quattro carichi utili, tra cui un eseguibile legittimo associato a Douyin (“Douyin.exe”), la versione cinese di Tiktok, che viene utilizzata per scendere una dll di canaglia (Rogue “Tier0.dll”), che lancia quindi il malware Valleyrat.
Estrasse anche un altro file DLL (“sscronet.dll”), che è responsabile della terminazione di qualsiasi processo in esecuzione presente in un elenco di esclusione.
Compilato in cinese e scritto in C ++, Valleyrat è un Trojan progettato per monitorare il contenuto dello schermo, registrare i tasti e stabilire la persistenza sull’ospite. È inoltre in grado di iniziare le comunicazioni con un server remoto per attendere ulteriori istruzioni che gli consentono di elencare i processi, nonché scaricare ed eseguire DLL e binari arbitrari, tra gli altri.
“Per l’iniezione di payload, l’attaccante ha abusato di eseguibili firmati legittimi che erano vulnerabili al dirottamento dell’ordine di ricerca DLL”, ha detto Uzan.
Lo sviluppo arriva come Sophos Dettagli condivisi di attacchi di phishing che impiegano grafica vettoriale scalabili (Svg) Allegati per sfuggire al rilevamento e fornire un malware di logger di sequestro basato su autoit come Nymeria o utenti diretti a pagine di raccolta delle credenziali.
