Pesquisadores de cibersegurança estão alertando para uma série de ciberataques que visaram regiões de língua chinesa, como Hong Kong, Taiwan e a China Continental, com um malware conhecido como ValleyRAT.
Os ataques aproveitam um carregador multi-estágio apelidado de PNGPlug para entregar o payload do ValleyRAT, disse Intezer em um relatório técnico publicado na semana passada.
A cadeia de infecção começa com uma página de phishing que é projetada para incentivar as vítimas a baixar um pacote Microsoft Installer (MSI) malicioso disfarçado de software legítimo.
Uma vez executado, o instalador implanta uma aplicação benigna para evitar despertar suspeitas, enquanto também extrai furtivamente um arquivo criptografado contendo o payload do malware.
"O pacote MSI usa o recurso CustomAction do Windows Installer, permitindo que ele execute código malicioso, incluindo a execução de uma DLL maliciosa embutida que descriptografa o arquivo (all.zip) usando uma senha codificada 'hello202411' para extrair os componentes centrais do malware," disse a pesquisadora de segurança Nicole Fishbein.
Isso inclui uma DLL fraudulenta ("libcef.dll"), uma aplicação legítima ("down.exe") que é usada como uma capa para ocultar as atividades maliciosas, e dois arquivos de payload disfarçados de imagens PNG ("aut.png" e "view.png").
O principal objetivo do carregador DLL, PNGPlug, é preparar o ambiente para executar o malware principal injetando "aut.png" e "view.png" na memória para configurar a persistência, fazendo alterações no Registro do Windows e executando o ValleyRAT, respectivamente.
ValleyRAT, detectado em atividade desde 2023, é um trojan de acesso remoto (RAT) capaz de proporcionar aos atacantes acesso e controle não autorizados sobre máquinas infectadas.
Versões recentes do malware incorporaram recursos para capturar capturas de tela e limpar logs de eventos do Windows.
Avalia-se que esteja vinculado a um grupo de ameaças chamado Silver Fox, que também compartilha sobreposições táticas com outro cluster de atividade chamado Void Arachne devido ao uso de uma framework de comando e controle (C&C) chamada Winos 4.0.
A campanha é única pelo seu foco no demográfico de língua chinesa e pelo uso de iscas relacionadas a software para ativar a cadeia de ataque.
"Igualmente impressionante é o uso sofisticado de software legítimo pelos atacantes como um mecanismo de entrega para malware, mesclando de forma imperceptível atividades maliciosas com aplicações aparentemente benignas," disse Fishbein.
A adaptabilidade do carregador PNGPlug eleva ainda mais a ameaça, pois seu design modular permite que ele seja personalizado para múltiplas campanhas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...