Carregador PNGPlug dissemina malware
21 de Janeiro de 2025

Pesquisadores de cibersegurança estão alertando para uma série de ciberataques que visaram regiões de língua chinesa, como Hong Kong, Taiwan e a China Continental, com um malware conhecido como ValleyRAT.

Os ataques aproveitam um carregador multi-estágio apelidado de PNGPlug para entregar o payload do ValleyRAT, disse Intezer em um relatório técnico publicado na semana passada.

A cadeia de infecção começa com uma página de phishing que é projetada para incentivar as vítimas a baixar um pacote Microsoft Installer (MSI) malicioso disfarçado de software legítimo.

Uma vez executado, o instalador implanta uma aplicação benigna para evitar despertar suspeitas, enquanto também extrai furtivamente um arquivo criptografado contendo o payload do malware.

"O pacote MSI usa o recurso CustomAction do Windows Installer, permitindo que ele execute código malicioso, incluindo a execução de uma DLL maliciosa embutida que descriptografa o arquivo (all.zip) usando uma senha codificada 'hello202411' para extrair os componentes centrais do malware," disse a pesquisadora de segurança Nicole Fishbein.

Isso inclui uma DLL fraudulenta ("libcef.dll"), uma aplicação legítima ("down.exe") que é usada como uma capa para ocultar as atividades maliciosas, e dois arquivos de payload disfarçados de imagens PNG ("aut.png" e "view.png").

O principal objetivo do carregador DLL, PNGPlug, é preparar o ambiente para executar o malware principal injetando "aut.png" e "view.png" na memória para configurar a persistência, fazendo alterações no Registro do Windows e executando o ValleyRAT, respectivamente.

ValleyRAT, detectado em atividade desde 2023, é um trojan de acesso remoto (RAT) capaz de proporcionar aos atacantes acesso e controle não autorizados sobre máquinas infectadas.

Versões recentes do malware incorporaram recursos para capturar capturas de tela e limpar logs de eventos do Windows.

Avalia-se que esteja vinculado a um grupo de ameaças chamado Silver Fox, que também compartilha sobreposições táticas com outro cluster de atividade chamado Void Arachne devido ao uso de uma framework de comando e controle (C&C) chamada Winos 4.0.

A campanha é única pelo seu foco no demográfico de língua chinesa e pelo uso de iscas relacionadas a software para ativar a cadeia de ataque.

"Igualmente impressionante é o uso sofisticado de software legítimo pelos atacantes como um mecanismo de entrega para malware, mesclando de forma imperceptível atividades maliciosas com aplicações aparentemente benignas," disse Fishbein.

A adaptabilidade do carregador PNGPlug eleva ainda mais a ameaça, pois seu design modular permite que ele seja personalizado para múltiplas campanhas.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...