Los sitios web falsos que anuncia Google Chrome se ha utilizado para distribuir instaladores maliciosos para un troyano de entrada remoto llamado Valleyrat.
El malware, detectado por primera vez en 2023, se atribuye a un actor de amenazas rastreado como Silver Fox, con campañas de ataque previas, principalmente a regiones de deje china como Hong Kong, Taiwán y China continental.
“Este actor ha dirigido cada vez más roles esencia adentro de las organizaciones, particularmente en el sección de finanzas, contabilidad y ventas, destacando un enfoque clave en posiciones de detención valía con entrada a datos y sistemas confidenciales”, dijo el investigador de Morphisec Shmuel Uzan en un crónica publicado anteriormente. semana.
Se han observado que las primeras cadenas de ataque entregan Valleyrat yuxtapuesto con otras familias de malware como Purple Fox y GH0st Rat, la última de las cuales ha sido ampliamente utilizada por varios grupos de piratería chinos.
Tan recientemente como el mes pasado, los instaladores falsificados para el software legal han servido como mecanismo de distribución para el troyano mediante un cargador DLL llamado PNGPlug.
Vale la pena señalar que un esquema de descarga de transmisión dirigida a los usuarios de Windows de deje china se usaba previamente para implementar GH0st RAT utilizando paquetes de instalador zorro para el navegador web Chrome.
De guisa similar, la última secuencia de ataque asociada con Valleyrat implica el uso de un sitio web mentiroso de Google Chrome para engañar a los objetivos para descargar un archivo ZIP que contiene un ejecutable (“Setup.exe”).
El binario, tras la ejecución, verifica si tiene privilegios de administrador y luego procede a descargar cuatro cargas enseres adicionales, incluido un ejecutable legal asociado con douyin (“douyin.exe”), la lectura china de Tiktok, que se usa para dejar un DLL desobediente ( “Tier0.dll”), que luego vara el malware Valleyrat.
Igualmente se recupera otro archivo DLL (“sscronet.dll”), que es responsable de finalizar cualquier proceso de ejecución presente en una tira de limitación.
Compilado en chino y escrito en C ++, Valleyrat es un troyano diseñado para monitorear el contenido de la pantalla, registrar las teclas de registro y establecer persistencia en el host. Igualmente es capaz de iniciar comunicaciones con un servidor remoto para esperar más instrucciones que le permitan enumerar los procesos, así como descargar y ejecutar DLL y binarios arbitrarios, entre otros.
“Para la inyección de carga útil, el atacante abusó de ejecutables legítimos legítimos que eran vulnerables al secuestro de orden de búsqueda de DLL”, dijo Uzan.
El avance se produce cuando Sophos compartió detalles de los ataques de phishing que emplean archivos adjuntos de gráficos vectoriales escalables (SVG) para evitar la detección y entregar un malware de registro de pulsación de teclado basado en necropsia como Nymeria o usuarios directos a páginas de monasterio de credenciales.
