Campanha Sofisticada de Phishing Mira Usuários Chineses com ValleyRAT e Gh0st RAT
20 de Setembro de 2023

Falantes de língua chinesa têm sido cada vez mais alvos de várias campanhas de phishing por e-mail que visam distribuir várias famílias de malware, como Sainbox RAT, Purple Fox e um novo trojan chamado ValleyRAT.

"Campanhas incluem iscas em língua chinesa e malware tipicamente associados à atividade cibernética chinesa", disse a empresa de segurança corporativa Proofpoint em um relatório.

A atividade, observada desde o início de 2023, envolve o envio de mensagens de e-mail contendo URLs que apontam para executáveis comprimidos responsáveis ​​pela instalação do malware.

Outras cadeias de infecção foram encontradas para aproveitar anexos do Microsoft Excel e PDF que incorporam essas URLs para acionar atividades maliciosas.

Essas campanhas demonstram variação no uso de infraestrutura, domínios de remetentes, conteúdo de e-mail, segmentação e cargas úteis, indicando que diferentes clusters de ameaças estão realizando os ataques.

Mais de 30 tais campanhas foram detectadas em 2023 que empregam malware tipicamente associado à atividade cibernética chinesa.

Desde abril de 2023, pelo menos 20 dessas campanhas teriam entregue Sainbox, uma variante do trojan Gh0st RAT também conhecido como FatalRAT.

A Proofpoint disse que identificou pelo menos três outras campanhas entregando o malware Purple Fox e seis campanhas adicionais propagando uma nova cepa de malware chamada ValleyRAT, que começou no dia 21 de março de 2023.

ValleyRAT, documentado pela primeira vez pela empresa de cibersegurança chinesa Qi An Xin em fevereiro de 2023, é escrito em C++ e abriga funcionalidades tradicionalmente vistas em trojans de acesso remoto, como buscar e executar cargas úteis adicionais (DLLs e binários) enviados de um servidor remoto e enumerando processos em execução, entre outros.

Enquanto Gh0st RAT tem sido amplamente usado em várias campanhas cibernéticas ligadas à China ao longo dos anos, o surgimento do ValleyRAT sugere que ele poderia ser amplamente implantado no futuro.

"O aumento na atividade de malware em língua chinesa indica uma expansão do ecossistema de malware chinês, seja através do aumento da disponibilidade ou facilidade de acesso a cargas úteis e listas de alvos, bem como possivelmente aumento da atividade por operadores de crimes cibernéticos que falam chinês", disse a empresa.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...