Situs web palsu yang mengiklankan Google Chrome telah digunakan untuk mendistribusikan installer berbahaya untuk akses jarak jauh Trojan yang disebut Valleyrat.
Malware, pertama kali terdeteksi pada tahun 2023, disebabkan oleh aktor ancaman yang dilacak sebagai Silver Fox, dengan kampanye serangan sebelumnya terutama menargetkan daerah berbahasa Cina seperti Hong Kong, Taiwan, dan daratan Cina.
“Aktor ini telah semakin menargetkan peran kunci dalam organisasi-terutama di departemen keuangan, akuntansi, dan penjualan-menyoroti fokus strategis pada posisi bernilai tinggi dengan akses ke data dan sistem sensitif,” kata peneliti Morphisec Shmuel Uzan dalam sebuah laporan yang diterbitkan sebelumnya ini, “Morphisec Kata Shmuel Uzan dalam sebuah laporan yang diterbitkan ini sebelumnya ini,” MorphiSec mengatakan Shmuel Uzan dalam sebuah laporan yang diterbitkan ini sebelumnya ini, “MORPHISEC mengatakan Shmuel Uzan dalam sebuah laporan yang diterbitkan ini sebelumnya pekan.
Rantai serangan awal telah diamati memberikan Valleyrat bersama keluarga malware lainnya seperti Purple Fox dan GH0st Rat, yang terakhir telah digunakan secara luas oleh berbagai kelompok peretasan Cina.
Baru -baru ini bulan lalu, installer palsu untuk perangkat lunak yang sah telah berfungsi sebagai mekanisme distribusi untuk Trojan dengan menggunakan loader DLL bernama PNGPLUG.
Perlu dicatat bahwa skema unduhan drive-by yang menargetkan pengguna Windows berbahasa Cina sebelumnya digunakan untuk menggunakan tikus GH0St menggunakan paket penginstal jahat untuk browser web Chrome.
Dengan cara yang sama, urutan serangan terbaru yang terkait dengan Valleyrat mensyaratkan penggunaan situs web Google Chrome palsu untuk menipu target untuk mengunduh arsip zip yang berisi yang dapat dieksekusi (“setup.exe”).
Biner, setelah dieksekusi, memeriksa apakah ia memiliki hak istimewa administrator dan kemudian melanjutkan untuk mengunduh empat muatan tambahan, termasuk yang dapat dieksekusi sah yang terkait dengan douyin (“douyin.exe”), versi Tiktok versi Cina, yang digunakan untuk mengidap DLL nakal (Rogue DLL ( “Tier0.dll”), yang kemudian meluncurkan malware Valleyrat.
Juga diambil adalah file DLL lain (“sscronet.dll”), yang bertanggung jawab untuk mengakhiri setiap proses berjalan yang ada dalam daftar pengecualian.
Disusun dalam bahasa Cina dan ditulis dalam C ++, Valleyrat adalah Trojan yang dirancang untuk memantau konten layar, penekanan tombol log, dan membuat kegigihan pada host. Ini juga mampu memulai komunikasi dengan server jarak jauh untuk menunggu instruksi lebih lanjut yang memungkinkannya untuk menyebutkan proses, serta mengunduh dan menjalankan DLL dan biner sewenang -wenang, antara lain.
“Untuk injeksi payload, penyerang menyalahgunakan eksekutif yang ditandatangani sah yang rentan terhadap pembajakan perintah pencarian DLL,” kata Uzan.
Perkembangan ini datang ketika Sophos berbagi rincian serangan phishing yang menggunakan lampiran vektor grafik (SVG) yang dapat diskalakan untuk menghindari deteksi dan memberikan malware logger keystroke berbasis autoit seperti Nymeria atau pengguna langsung ke halaman pemanenan kredensial.
