Sites falsos que anunciam o Google Chrome foram usados para distribuir instaladores maliciosos para um trojan de acesso remoto chamado ValleyRAT.
O malware, detectado pela primeira vez em 2023, é atribuído a um agente de ameaça rastreado como Silver Fox, com campanhas de ataque anteriores visando principalmente regiões de língua chinesa, como Hong Kong, Taiwan e China continental.
- Leia também: A Importância de um Anti-SPAM para seus e-mails profissionais
- Leia também: Criação de Sites e Lojas Virtuais em Pernambuco
- Leia também: LiteSpeed com cPGuard em sua Hospedagem de Sites
- Leia também: Hospedagem grátis por 30 dias com ativação imediata
“Esse ator tem cada vez mais visado cargos-chave dentro das organizações — particularmente nos departamentos financeiro, contábil e de vendas — destacando um foco estratégico em posições de alto valor com acesso a dados e sistemas confidenciais”, disse o pesquisador da Morphisec, Shmuel Uzan , em um relatório publicado no início desta semana.
As primeiras cadeias de ataque foram observadas distribuindo o ValleyRAT junto com outras famílias de malware, como Purple Fox e Gh0st RAT, este último amplamente utilizado por vários grupos de hackers chineses .
Ainda no mês passado, instaladores falsificados de software legítimo serviram como mecanismo de distribuição do trojan por meio de um carregador de DLL chamado PNGPlug.
Vale ressaltar que um esquema de download drive-by direcionado a usuários do Windows que falam chinês foi usado anteriormente para implantar o Gh0st RAT usando pacotes de instalação maliciosos para o navegador Chrome.
De forma semelhante, a sequência de ataque mais recente associada ao ValleyRAT envolve o uso de um site falso do Google Chrome para induzir os alvos a baixar um arquivo ZIP contendo um executável (“Setup.exe”).
O CTO da Morphisec, Michael Gorelik, disse ao The Hacker News que há evidências conectando os dois grupos de atividades e que o site enganoso do instalador do Chrome foi usado anteriormente para baixar a carga útil do Gh0st RAT.
“Esta campanha teve como alvo específico usuários de língua chinesa, conforme indicado pelo uso de iscas e aplicativos da web em língua chinesa voltados para roubo de dados e evasão de defesas pelo malware”, disse Gorelik.
“Os links para os sites falsos do Chrome são distribuídos principalmente por meio de esquemas de download drive-by. Usuários que buscam o navegador Chrome são direcionados a esses sites maliciosos, onde inadvertidamente baixam o instalador falso. Esse método explora a confiança dos usuários em downloads legítimos de software, tornando-os suscetíveis à infecção.”
O binário de configuração, ao ser executado, verifica se possui privilégios de administrador e então baixa quatro cargas adicionais, incluindo um executável legítimo associado ao Douyin (“Douyin.exe”), a versão chinesa do TikTok, que é usado para fazer o sideload de uma DLL desonesta (“tier0.dll”), que então inicia o malware ValleyRAT.
Também é recuperado outro arquivo DLL (“sscronet.dll”), que é responsável por encerrar qualquer processo em execução presente em uma lista de exclusão.
Compilado em chinês e escrito em C++, ValleyRAT é um trojan que foi projetado para monitorar o conteúdo da tela, registrar pressionamentos de tecla e estabelecer persistência no host. Ele também é capaz de iniciar comunicações com um servidor remoto para aguardar instruções adicionais que permitam enumerar processos, bem como baixar e executar DLLs e binários arbitrários, entre outros.
“Para injeção de carga, o invasor abusou de executáveis assinados legítimos que eram vulneráveis ao sequestro de ordem de pesquisa de DLL”, disse Uzan.
- Leia também: Entenda os meios para hospedagem de sites na internet
- Leia também: Otimize seu Site para Velocidade Máxima com cPanel Guia Completo
- Leia também: Ative a autenticação de dois fatores no cPanel para segurança máxima
- Leia também: Proteja seus dados com o Gerenciador de Senhas do cPanel
O desenvolvimento ocorre no momento em que a Sophos compartilhou detalhes de ataques de phishing que empregam anexos de Scalable Vector Graphics ( SVG ) para evitar a detecção e entregar um malware registrador de teclas baseado em AutoIt, como o Nymeria, ou direcionar os usuários para páginas de coleta de credenciais.
