Los usuarios de habla china son el objetivo de una campaña en curso que distribuye malware conocido como ValleyRAT.
“ValleyRAT es un malware de múltiples etapas que utiliza varias técnicas para monitorear y controlar a sus víctimas e implementar complementos arbitrarios para causar más daño”, explican los investigadores de Fortinet FortiGuard Labs Eduardo Altares y Joie Salvio. dicho.
“Otra característica notable de este malware es su uso extensivo de shellcode para ejecutar sus numerosos componentes directamente en la memoria, reduciendo así significativamente el espacio que ocupan los archivos en el sistema de la víctima. »
Los detalles de la campaña surgieron por primera vez en junio de 2024, cuando Zscaler ThreatLabz detalló los ataques que involucraban una versión actualizada del malware.
No está claro cómo se distribuye la última versión de ValleyRAT, aunque campañas anteriores han explotado mensajes de correo electrónico que contienen URL que apuntan a ejecutables comprimidos.
La secuencia de ataque es un proceso de varios pasos que comienza con un cargador de primera etapa que se hace pasar por aplicaciones legítimas como Microsoft Office para hacerlas parecer inofensivas (por ejemplo, “工商年报大师.exe” o “补单对接更新记录txt.exe). “). ).
Al iniciar el ejecutable, se elimina el documento señuelo y se carga el código shell para pasar a la siguiente fase del ataque. El cargador también toma medidas para verificar que no se esté ejecutando en una máquina virtual.
El código de shell es responsable de inicializar un módulo de marcado que contacta a un servidor de comando y control (C2) para descargar dos componentes (RuntimeBroker y RemoteShellcode) mientras establece la persistencia en el host y obtiene privilegios de acceso de administrador mediante la explotación de un binario legítimo llamado fodhelper.exe. realizando una derivación de UAC.
El segundo método utilizado para la escalada de privilegios implica el abuso de Interfaz COM CMSTPLUAuna técnica previamente adoptada por actores maliciosos conectados al ransomware Avaddon y también visto en campañas recientes de Hijack Loader.
En un intento adicional de garantizar que el malware se ejecute sin obstáculos en la máquina, configura reglas de exclusión para Microsoft Defender Antivirus y procede a eliminar varios procesos relacionados con el antivirus según los nombres de los archivos ejecutables correspondientes.
La tarea principal de RuntimeBroker es recuperar del servidor C2 un componente llamado Loader, que funciona igual que el cargador de la primera etapa y ejecuta el módulo de marcado para repetir el proceso de infección.
La carga útil del cargador también tiene algunas características distintivas, incluida la ejecución de comprobaciones para ver si se está ejecutando en una zona de pruebas y el escaneo del registro de Windows en busca de claves relacionadas con aplicaciones como Tencent WeChat y Alibaba DingTalk, lo que refuerza la hipótesis de que el malware se dirige exclusivamente a sistemas chinos.
Por otro lado, RemoteShellcode está configurado para recuperar el descargador ValleyRAT del servidor C2, que luego utiliza sockets UDP o TCP para conectarse al servidor y recibir la carga útil final.
ValleyRAT, atribuido a un grupo de amenazas llamado Silver Fox, es una puerta trasera integral capaz de controlar de forma remota las estaciones de trabajo comprometidas. Puede tomar capturas de pantalla, ejecutar archivos y cargar complementos adicionales en el sistema de la víctima.
“Este malware implica múltiples componentes cargados en diferentes etapas y utiliza principalmente código shell para ejecutarlos directamente en la memoria, lo que reduce significativamente el seguimiento de sus archivos en el sistema”, dijeron los investigadores.
“Una vez que el malware se afianza en el sistema, toma comandos capaces de monitorear las actividades de la víctima y entregar complementos arbitrarios para promover las intenciones de los actores de la amenaza. »
Este desarrollo se produce en medio de campañas de malspam en curso que intentan explotar una antigua vulnerabilidad de Microsoft Office (CVE-2017-0199) para ejecutar código malicioso y distribuir GuLoader, Remcos RAT y Sankeloader.
“CVE-2017-0199 todavía tiene como objetivo permitir la ejecución remota de código desde un archivo XLS”, dijo Symantec, propiedad de Broadcom. dicho“Las campañas entregaron un archivo XLS malicioso con un enlace desde el cual se ejecutaría un archivo HTA o RTF remoto para descargar la carga útil final. »