Usuários que falam chinês estão no alvo de uma campanha contínua que distribui um malware conhecido como ValleyRAT.
"O ValleyRAT é um malware multi-estágio que utiliza técnicas diversas para monitorar e controlar suas vítimas e implantar plugins arbitrários para causar mais danos", disseram os pesquisadores da Fortinet FortiGuard Labs, Eduardo Altares e Joie Salvio.
Outra característica notável desse malware é seu intenso uso de shellcode para executar seus vários componentes diretamente na memória, reduzindo significativamente sua pegada de arquivo no sistema da vítima.
Detalhes sobre a campanha surgiram pela primeira vez em junho de 2024, quando o Zscaler ThreatLabz detalhou ataques envolvendo uma versão atualizada do malware.
Atualmente, não se sabe exatamente como a última iteração do ValleyRAT é distribuída, embora campanhas anteriores tenham utilizado mensagens de email contendo URLs que apontam para executáveis compactados.
A sequência do ataque é um processo multi-estágio que começa com um carregador de primeira fase que se passa por aplicações legítimas como Microsoft Office para parecerem inofensivas (por exemplo, "工商年报大师.exe" ou "补单对接更新记录txt.exe").
Iniciar o executável faz com que o documento isca seja solto e o shellcode seja carregado para avançar para a próxima fase do ataque.
O carregador também toma medidas para validar que não está sendo executado em uma máquina virtual.
O shellcode é responsável por iniciar um módulo de beaconing que contata um servidor de comando e controle (C2) para baixar dois componentes – RuntimeBroker e RemoteShellcode – além de configurar a persistência no host e ganhar privilégios de administrador explorando um binário legítimo chamado fodhelper.exe para alcançar uma evasão do UAC.
O segundo método usado para a escalada de privilégios envolve o abuso da interface COM CMSTPLUA, uma técnica anteriormente adotada por atores de ameaças conectadas ao ransomware Avaddon e também observada em campanhas recentes do Hijack Loader.
Em uma tentativa adicional de garantir que o malware funcione sem impedimentos na máquina, ele configura regras de exclusão para o Microsoft Defender Antivirus e procede para terminar vários processos relacionados a antivírus baseando-se no nome dos arquivos executáveis.
A principal tarefa do RuntimeBroker é recuperar do servidor C2 um componente chamado Loader, que funciona da mesma forma que o carregador de primeira fase e executa o módulo de beaconing para repetir o processo de infecção.
O payload do Loader também exibe algumas características distintas, incluindo verificações para ver se está sendo executado em uma sandbox e digitalizando o Registro do Windows por chaves relacionadas a apps como Tencent WeChat e Alibaba DingTalk, reforçando a hipótese de que o malware visa exclusivamente sistemas chineses.
Por outro lado, o RemoteShellcode é configurado para buscar o downloader do ValleyRAT do servidor C2, que, subsequente, usa soquetes UDP ou TCP para conectar ao servidor e receber o payload final.
ValleyRAT, atribuído a um grupo de ameaças chamado Silver Fox, é um backdoor totalmente equipado capaz de controlar remotamente estações de trabalho comprometidas.
Ele pode tirar screenshots, executar arquivos e carregar plugins adicionais no sistema da vítima.
"Esse malware envolve vários componentes carregados em diferentes estágios e utiliza principalmente shellcode para executá-los diretamente na memória, reduzindo significativamente seu rastro de arquivo no sistema", disseram os pesquisadores.
Uma vez que o malware ganha um ponto de apoio no sistema, ele suporta comandos capazes de monitorar as atividades da vítima e entregar plugins arbitrários para avançar as intenções dos atores da ameaça.
O desenvolvimento vem em meio a campanhas contínuas de malspam que tentam explorar uma antiga vulnerabilidade do Microsoft Office (
CVE-2017-0199
) para executar código malicioso e entregar GuLoader, Remcos RAT e Sankeloader.
"A
CVE-2017-0199
ainda é visada para permitir a execução de código remoto de dentro de um arquivo XLS", disse a Symantec, de propriedade da Broadcom.
As campanhas entregaram um arquivo XLS malicioso com um link do qual um arquivo HTA ou RTF remoto seria executado para baixar o payload final.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...