ValleyRAT: Ψέμα Chrome σελίδες διανέμουν Malware

Το ValleyRAT malware, που ανιχνεύθηκε για πρώτη φορά το 2023, αποδίδεται σε έναν απειλητικό παράγοντα που παρακολουθείται ως Silver Fox, με προηγούμενες επιθέσεις να στοχεύουν κυρίως περιοχές όπου ομιλείται η κινεζική γλώσσα, όπως το Χονγκ Κονγκ, η Ταϊβάν και η Κίνα.

«Αυτός ο παράγοντας έχει εντείνει την επίθεσή του σε κρίσιμες θέσεις εντός οργανισμών—ιδιαίτερα στους τομείς της χρηματοδότησης, της λογιστικής και των πωλήσεων—τονίζοντας μια στρατηγική εστίαση σε θέσεις υψηλής αξίας με πρόσβαση σε ευαίσθητα δεδομένα και συστήματα», δήλωσε ο ερευνητής της Morphisec, Shmuel Uzan, σε μια έκθεση που δημοσιεύθηκε νωρίτερα αυτή την εβδομάδα.

Αρχικές αλυσίδες επιθέσεων έχουν παρατηρηθεί να διανέμουν το ValleyRAT μαζί με άλλες οικογένειες malware όπως το Purple Fox και το Gh0st RAT, το οποίο έχει χρησιμοποιηθεί εκτενώς από διάφορες κινεζικές ομάδες χάκερ.

Μόλις τον περασμένο μήνα, πλαστά εγκαταστάτες για νόμιμο λογισμικό χρησιμοποιήθηκαν ως μηχανισμός διανομής για τον Trojan μέσω ενός DLL loader που ονομάζεται PNGPlug.

Αξιοσημείωτο είναι ότι ένα σχέδιο drive-by download που στοχεύει χρήστες Windows που μιλούν κινεζικά είχε χρησιμοποιηθεί προηγουμένως για την ανάπτυξη του Gh0st RAT μέσω κακόβουλων πακέτων εγκατάστασης για τον περιηγητή Chrome.

Με παρόμοιο τρόπο, η τελευταία ακολουθία επιθέσεων που σχετίζεται με το ValleyRAT περιλαμβάνει τη χρήση μιας ψεύτικης ιστοσελίδας Google Chrome για να παραπλανήσει τους στόχους να κατεβάσουν ένα αρχείο ZIP που περιέχει ένα εκτελέσιμο αρχείο (“Setup.exe”).

Ο CTO της Morphisec, Michael Gorelik, δήλωσε στο The Hacker News ότι υπάρχουν αποδείξεις που συνδέουν τις δύο ομάδες δραστηριότητας και ότι η παραπλανητική ιστοσελίδα εγκαταστάτη Chrome είχε χρησιμοποιηθεί προηγουμένως για τη λήψη του payload του Gh0st RAT.

«Αυτή η εκστρατεία στοχεύει ειδικά χρήστες που μιλούν κινεζικά, όπως υποδεικνύεται από τη χρήση κινεζικών διαδικτυακών δολωμάτων και εφαρμογών που αποσκοπούν στην κλοπή δεδομένων και την αποφυγή αμυντικών μηχανισμών από το malware», δήλωσε ο Gorelik.

«Οι σύνδεσμοι προς τις ψεύτικες ιστοσελίδες Chrome διανέμονται κυρίως μέσω σχεδίων drive-by download. Οι χρήστες που αναζητούν τον περιηγητή Chrome κατευθύνονται σε αυτές τις κακόβουλες ιστοσελίδες, όπου κατά λάθος κατεβάζουν τον ψεύτικο εγκαταστάτη. Αυτή η μέθοδος εκμεταλλεύεται την εμπιστοσύνη των χρηστών σε νόμιμες λήψεις λογισμικού, καθιστώντας τους ευάλωτους σε μόλυνση.»

Ο εκτελέσιμος αρχείο εγκατάστασης, κατά την εκτέλεση, ελέγχει αν έχει δικαιώματα διαχειριστή και στη συνέχεια προχωρά στη λήψη τεσσάρων επιπλέον payloads, συμπεριλαμβανομένου ενός νόμιμου εκτελέσιμου που σχετίζεται με το Douyin (“Douyin.exe”), την κινεζική έκδοση του TikTok, που χρησιμοποιείται για την εγκατάσταση ενός κακόβουλου DLL (“tier0.dll”), το οποίο στη συνέχεια запускает το malware ValleyRAT.

Επίσης ανακτάται ένα άλλο αρχείο DLL (“sscronet.dll”), το οποίο είναι υπεύθυνο για την τερματισμό οποιασδήποτε εκτελούμενης διαδικασίας που περιλαμβάνεται σε μια λίστα εξαιρέσεων.

Συγκροτημένο στα Κινέζικα και γραμμένο σε C++, το ValleyRAT είναι ένα Trojan που έχει σχεδιαστεί για να παρακολουθεί το περιεχόμενο της οθόνης, να καταγράφει πατήματα πλήκτρων και να διατηρεί επιμονή στον υπολογιστή-στόχο. Είναι επίσης ικανό να ξεκινά επικοινωνίες με έναν απομακρυσμένο διακομιστή για να περιμένει περαιτέρω οδηγίες που του επιτρέπουν να απαριθμεί διαδικασίες, καθώς και να κατεβάζει και να εκτελεί αυθαίρετα DLLs και εκτελέσιμα αρχεία, μεταξύ άλλων.

«Για την ένεση payload, ο επιτιθέμενος εκμεταλλεύτηκε νόμιμα υπογεγραμμένα εκτελέσιμα αρχεία που ήταν ευάλωτα σε DLL search order hijacking», δήλωσε ο Uzan.

Η εξέλιξη αυτή έρχεται καθώς η Sophos κοινοποίησε λεπτομέρειες σχετικά με επιθέσεις phishing που χρησιμοποιούν συνημμένα Scalable Vector Graphics (SVG) για να αποφύγουν την ανίχνευση και να παραδώσουν κακόβουλο λογισμικό καταγραφής πληκτρολογήσεων βασισμένο σε AutoIt, όπως το Nymeria ή να κατευθύνουν τους χρήστες σε σελίδες συλλογής διαπιστευτηρίων.