Pesquisadores de cibersegurança descobriram uma versão atualizada de um malware chamado ValleyRAT que está sendo distribuída como parte de uma nova campanha.
"Na versão mais recente, o ValleyRAT introduziu novos comandos, como captura de screenshots, filtragem de processos, desligamento forçado e limpeza de logs de eventos do Windows", disseram os pesquisadores da Zscaler ThreatLabz, Muhammed Irfan V A e Manisha Ramcharan Prajapati.
O ValleyRAT foi anteriormente documentado pela QiAnXin e Proofpoint em 2023 em conexão com uma campanha de phishing visando usuários de língua chinesa e organizações japonesas que distribuíram várias famílias de malware, como Purple Fox e uma variante do trojan Gh0st RAT conhecida como Sainbox RAT (também conhecido como FatalRAT).
O malware foi avaliado como sendo obra de um ator de ameaças baseado na China, ostentando capacidades para colher informações sensíveis e distribuir payloads adicionais em hosts comprometidos.
O ponto de partida é um downloader que utiliza um HTTP File Server (HFS) para buscar um arquivo chamado "NTUSER.DXM" que é decodificado para extrair um arquivo DLL responsável por baixar "client.exe" do mesmo servidor.
A DLL decifrada também é projetada para detectar e encerrar soluções antimalware da Qihoo 360 e WinRAR numa tentativa de evitar análises, após o qual o downloader prossegue para recuperar mais três arquivos - "WINWORD2013.EXE", "wwlib.dll" e "xig.ppt" - do servidor HFS.
A seguir, o malware lança "WINWORD2013.EXE", um executável legítimo associado ao Microsoft Word, usá-lo para carregar lateralmente "wwlib.dll" que, por sua vez, estabelece persistência no sistema e carrega "xig.ppt" na memória.
"A partir daqui, o 'xig.ppt' decifrado continua o processo de execução como um mecanismo para decifrar e injetar shellcode no svchost.exe", disseram os pesquisadores.
O malware cria o svchost.exe como um processo suspenso, aloca memória dentro do processo e escreve o shellcode lá. O shellcode, por sua vez, contém a configuração necessária para entrar em contato com um servidor de comando e controle (C2) e baixar o payload do ValleyRAT na forma de um arquivo DLL.
"O ValleyRAT utiliza um processo multinível e complicado para infectar um sistema com o payload final que realiza a maioria das operações maliciosas", disseram os pesquisadores.
Esta abordagem em estágios combinada com o carregamento lateral de DLL provavelmente é projetada para melhor evasão de soluções de segurança baseadas no host, como EDRs e aplicativos antivírus.
Esse desenvolvimento surge enquanto o Fortinet FortiGuard Labs descobriu uma campanha de phishing que alveja pessoas de língua espanhola com uma versão atualizada de um keylogger e ladrão de informações chamado Agent Tesla.
A cadeia de ataque aproveita anexos de arquivo Microsoft Excel Add-Ins (XLA) que exploram falhas de segurança conhecidas (
CVE-2017-0199
e
CVE-2017-11882
) para disparar a execução de código JavaScript que carrega um script PowerShell, projetado para lançar um loader a fim de recuperar o Agent Tesla de um servidor remoto.
"Esta variante coleta credenciais e contatos de email do dispositivo da vítima, o software do qual coleta os dados, e as informações básicas do dispositivo da vítima", disse o pesquisador de segurança Xiaopeng Zhang.
O Agent Tesla também pode coletar os contatos de email da vítima se eles usarem o Thunderbird como seu cliente de email.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...