
Peneliti keamanan siber meminta perhatian terhadap serangkaian serangan siber yang menargetkan wilayah berbahasa Tiongkok seperti Hong Kong, Taiwan, dan Tiongkok Daratan dengan malware terkenal yang disebut ValleyRAT.
Serangan tersebut memanfaatkan pemuat multi-tahap yang dijuluki PNGPlug untuk mengirimkan muatan ValleyRAT, kata Intezer dalam laporan teknis yang diterbitkan minggu lalu.
Rantai infeksi dimulai dengan halaman phishing yang dirancang untuk mendorong korban mengunduh paket Penginstal Microsoft (MSI) berbahaya yang menyamar sebagai perangkat lunak sah.

Setelah dijalankan, penginstal menyebarkan aplikasi yang tidak berbahaya untuk menghindari timbulnya kecurigaan, sekaligus secara diam-diam mengekstraksi arsip terenkripsi yang berisi muatan malware.
“Paket MSI menggunakan fitur CustomAction Penginstal Windows, memungkinkannya mengeksekusi kode berbahaya, termasuk menjalankan DLL berbahaya tertanam yang mendekripsi arsip (all.zip) menggunakan kata sandi hardcoded 'hello202411' untuk mengekstrak komponen inti malware,” peneliti keamanan kata Nicole Fishbein.
Ini termasuk DLL jahat (“libcef.dll”), aplikasi sah (“down.exe”) yang digunakan sebagai penutup untuk menyembunyikan aktivitas jahat, dan dua file payload yang menyamar sebagai gambar PNG (“aut.png” dan ” lihat.png”).
Tujuan utama pemuat DLL, PNGPlug, adalah mempersiapkan lingkungan untuk mengeksekusi malware utama dengan menyuntikkan “aut.png” dan “view.png” ke dalam memori untuk menyiapkan persistensi dengan membuat perubahan Registri Windows dan menjalankan ValleyRAT, masing-masing.
ValleyRAT, terdeteksi di alam liar sejak tahun 2023, adalah trojan akses jarak jauh (RAT) yang mampu memberi penyerang akses dan kontrol tidak sah atas mesin yang terinfeksi. Versi terbaru dari malware ini telah memasukkan fitur untuk menangkap tangkapan layar dan menghapus log peristiwa Windows.
Ini dinilai terkait dengan kelompok ancaman yang disebut Silver Fox, yang juga berbagi taktik yang tumpang tindih dengan kelompok aktivitas lain bernama Void Arachne karena penggunaan kerangka perintah dan kontrol (C&C) yang disebut Winos 4.0.

Kampanye ini unik karena fokusnya pada demografi berbahasa Tiongkok dan penggunaan umpan terkait perangkat lunak untuk mengaktifkan rantai serangan.
“Yang sama mencoloknya adalah penggunaan perangkat lunak sah yang canggih oleh para penyerang sebagai mekanisme pengiriman malware, yang secara mulus memadukan aktivitas berbahaya dengan aplikasi yang tampaknya tidak berbahaya,” kata Fishbein.
“Kemampuan beradaptasi dari pemuat PNGPlug semakin meningkatkan ancaman, karena desain modularnya memungkinkannya disesuaikan untuk berbagai kampanye.”