Los sitios web falsos que anuncia Google Chrome se ha utilizado para distribuir instaladores maliciosos para un troyano de acceso remoto llamado Valleyrat.
El malware, detectado por primera vez en 2023, se atribuye a un actor de amenazas rastreado como Silver Fox, con campañas de ataque previas, principalmente a regiones de habla china como Hong Kong, Taiwán y China continental.
«Este actor ha dirigido cada vez más roles clave dentro de las organizaciones, particularmente en el departamento de finanzas, contabilidad y ventas, destacando un enfoque estratégico en posiciones de alto valor con acceso a datos y sistemas confidenciales», dijo el investigador de Morphisec Shmuel Uzan en un informe publicado anteriormente. semana.
Se han observado que las primeras cadenas de ataque entregan Valleyrat junto con otras familias de malware como Purple Fox y GH0st Rat, la última de las cuales ha sido ampliamente utilizada por varios grupos de piratería chinos.
Tan recientemente como el mes pasado, los instaladores falsificados para el software legítimo han servido como mecanismo de distribución para el troyano mediante un cargador DLL llamado PNGPlug.
Vale la pena señalar que un esquema de descarga de transmisión dirigida a los usuarios de Windows de habla china se usaba previamente para implementar GH0st RAT utilizando paquetes de instalador malicioso para el navegador web Chrome.
De manera similar, la última secuencia de ataque asociada con Valleyrat implica el uso de un sitio web falso de Google Chrome para engañar a los objetivos para descargar un archivo ZIP que contiene un ejecutable («Setup.exe»).
El binario, tras la ejecución, verifica si tiene privilegios de administrador y luego procede a descargar cuatro cargas útiles adicionales, incluido un ejecutable legítimo asociado con douyin («douyin.exe»), la versión china de Tiktok, que se usa para dejar un DLL rebelde ( «Tier0.dll»), que luego lanza el malware Valleyrat.
También se recupera otro archivo DLL («sscronet.dll»), que es responsable de finalizar cualquier proceso de ejecución presente en una lista de exclusión.
Compilado en chino y escrito en C ++, Valleyrat es un troyano diseñado para monitorear el contenido de la pantalla, registrar las teclas de registro y establecer persistencia en el host. También es capaz de iniciar comunicaciones con un servidor remoto para esperar más instrucciones que le permitan enumerar los procesos, así como descargar y ejecutar DLL y binarios arbitrarios, entre otros.
«Para la inyección de carga útil, el atacante abusó de ejecutables legítimos legítimos que eran vulnerables al secuestro de orden de búsqueda de DLL», dijo Uzan.
El desarrollo se produce cuando Sophos compartió detalles de los ataques de phishing que emplean archivos adjuntos de gráficos vectoriales escalables (SVG) para evadir la detección y entregar un malware de registro de pulsación de teclado basado en autopsia como Nymeria o usuarios directos a páginas de recolección de credenciales.