Atualização de malware é preocupante
11 de Junho de 2024

Pesquisadores de cibersegurança descobriram uma versão atualizada de um malware chamado ValleyRAT que está sendo distribuída como parte de uma nova campanha.

"Na versão mais recente, o ValleyRAT introduziu novos comandos, como captura de screenshots, filtragem de processos, desligamento forçado e limpeza de logs de eventos do Windows", disseram os pesquisadores da Zscaler ThreatLabz, Muhammed Irfan V A e Manisha Ramcharan Prajapati.

O ValleyRAT foi anteriormente documentado pela QiAnXin e Proofpoint em 2023 em conexão com uma campanha de phishing visando usuários de língua chinesa e organizações japonesas que distribuíram várias famílias de malware, como Purple Fox e uma variante do trojan Gh0st RAT conhecida como Sainbox RAT (também conhecido como FatalRAT).

O malware foi avaliado como sendo obra de um ator de ameaças baseado na China, ostentando capacidades para colher informações sensíveis e distribuir payloads adicionais em hosts comprometidos.

O ponto de partida é um downloader que utiliza um HTTP File Server (HFS) para buscar um arquivo chamado "NTUSER.DXM" que é decodificado para extrair um arquivo DLL responsável por baixar "client.exe" do mesmo servidor.

A DLL decifrada também é projetada para detectar e encerrar soluções antimalware da Qihoo 360 e WinRAR numa tentativa de evitar análises, após o qual o downloader prossegue para recuperar mais três arquivos - "WINWORD2013.EXE", "wwlib.dll" e "xig.ppt" - do servidor HFS.

A seguir, o malware lança "WINWORD2013.EXE", um executável legítimo associado ao Microsoft Word, usá-lo para carregar lateralmente "wwlib.dll" que, por sua vez, estabelece persistência no sistema e carrega "xig.ppt" na memória.

"A partir daqui, o 'xig.ppt' decifrado continua o processo de execução como um mecanismo para decifrar e injetar shellcode no svchost.exe", disseram os pesquisadores.

O malware cria o svchost.exe como um processo suspenso, aloca memória dentro do processo e escreve o shellcode lá. O shellcode, por sua vez, contém a configuração necessária para entrar em contato com um servidor de comando e controle (C2) e baixar o payload do ValleyRAT na forma de um arquivo DLL.

"O ValleyRAT utiliza um processo multinível e complicado para infectar um sistema com o payload final que realiza a maioria das operações maliciosas", disseram os pesquisadores.

Esta abordagem em estágios combinada com o carregamento lateral de DLL provavelmente é projetada para melhor evasão de soluções de segurança baseadas no host, como EDRs e aplicativos antivírus.

Esse desenvolvimento surge enquanto o Fortinet FortiGuard Labs descobriu uma campanha de phishing que alveja pessoas de língua espanhola com uma versão atualizada de um keylogger e ladrão de informações chamado Agent Tesla.

A cadeia de ataque aproveita anexos de arquivo Microsoft Excel Add-Ins (XLA) que exploram falhas de segurança conhecidas ( CVE-2017-0199 e CVE-2017-11882 ) para disparar a execução de código JavaScript que carrega um script PowerShell, projetado para lançar um loader a fim de recuperar o Agent Tesla de um servidor remoto.

"Esta variante coleta credenciais e contatos de email do dispositivo da vítima, o software do qual coleta os dados, e as informações básicas do dispositivo da vítima", disse o pesquisador de segurança Xiaopeng Zhang.

O Agent Tesla também pode coletar os contatos de email da vítima se eles usarem o Thunderbird como seu cliente de email.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...