Ερευνητές κυβερνοασφάλειας ανακάλυψαν μια ενημερωμένη έκδοση κακόβουλου λογισμικού με την ονομασία ValleyRAT, η οποία διανέμεται μέσω μιας νέας κακόβουλης εκστρατείας.
Σύμφωνα με τους ερευνητές του Zscaler ThreatLabz, Muhammed Irfan V A και Manisha Ramcharan Prajapati, “Η τελευταία έκδοση της ValleyRAT εισάγει νέες δυνατότητες, όπως λήψη στιγμιότυπων οθόνης, φιλτράρισμα διεργασιών, αναγκαστικό τερματισμό λειτουργίας και εκκαθάριση αρχείων καταγραφής συμβάντων των Windows.”
Δείτε επίσης: Το DarkGate Malware αντικαθιστά το AutoIt με το AutoHotkey
Το ValleyRAT είχε τεκμηριωθεί προηγουμένως από την QiAnXin και την Proofpoint το 2023, σε συνάρτηση με μια καμπάνια phishing που στόχευε κινεζόφωνους χρήστες και ιαπωνικούς οργανισμούς, διανέμοντας διάφορες οικογένειες κακόβουλου λογισμικού όπως το Purple Fox και μια παραλλαγή του trojan Gh0st RAT, γνωστή ως Sainbox RAT (ή αλλιώς FatalRAT). Η ανάλυση δείχνει ότι το κακόβουλο λογισμικό είναι έργο ενός παράγοντα απειλών με έδρα την Κίνα, και διαθέτει δυνατότητες συλλογής ευαίσθητων πληροφοριών και απόθεσης πρόσθετων ωφέλιμων φορτίων σε παραβιασμένους υπολογιστές.
Η αρχική εκτέλεση γίνεται μέσω ενός προγράμματος λήψης που χρησιμοποιεί έναν HTTP File Server (HFS) για να ανακτήσει ένα αρχείο με το όνομα “NTUSER.DXM”. Το αρχείο αυτό αποκωδικοποιείται για να εξαγάγει ένα DLL που είναι υπεύθυνο για τη λήψη του “client.exe” από τον ίδιο server. Το αποκρυπτογραφημένο DLL είναι σχεδιασμένο να ανιχνεύει και να τερματίζει λύσεις κατά του κακόβουλου λογισμικού από το Qihoo 360 και το WinRAR, προσπαθώντας να αποφύγει την ανάλυση. Στη συνέχεια, το πρόγραμμα λήψης προχωρά στην ανάκτηση τριών επιπλέον αρχείων – “WINWORD2013.EXE”, “wwlib.dll” και “xig.ppt” – από τον HFS διακομιστή.
Το κακόβουλο λογισμικό στη συνέχεια εκκινεί το “WINWORD2013.EXE”, ένα νόμιμο εκτελέσιμο αρχείο που σχετίζεται με το Microsoft Word, το οποίο χρησιμοποιεί για πλευρική φόρτωση του “wwlib.dll”. Αυτό, με τη σειρά του, εδραιώνει την επιμονή στο σύστημα και φορτώνει το “xig.ppt” στη μνήμη.
«Από εδώ, το αποκρυπτογραφημένο αρχείο «xig.ppt» συνεχίζει τη διαδικασία εκτέλεσης ως μηχανισμός για την αποκρυπτογράφηση και το injection του shellcode στο svchost.exe», ανέφεραν οι ερευνητές. «Το κακόβουλο λογισμικό δημιουργεί το svchost.exe ως διαδικασία σε αναστολή, εκχωρεί μνήμη εντός της διαδικασίας και γράφει εκεί τον shellcode».
Διαβάστε επίσης: Το Dora RAT Malware στοχεύει ινστιτούτα της Νότιας Κορέας
Ο shellcode περιέχει τις απαραίτητες ρυθμίσεις παραμέτρων για τη σύνδεση με έναν server εντολών και ελέγχου (C2) και την απόκτηση του ωφέλιμου φορτίου ValleyRAT σε μορφή αρχείου DLL. «Το ValleyRAT χρησιμοποιεί μια περίπλοκη διαδικασία πολλαπλών σταδίων για να μολύνει το σύστημα με το τελικό ωφέλιμο φορτίο που εκτελεί τις περισσότερες κακόβουλες λειτουργίες», επισήμαναν οι ερευνητές. «Αυτή η σταδιακή προσέγγιση, σε συνδυασμό με την πλευρική φόρτωση DLL, πιθανότατα σχεδιάστηκε για να αποφεύγει καλύτερα τις λύσεις ασφαλείας που βασίζονται σε κεντρικούς υπολογιστές, όπως τα EDR και οι εφαρμογές προστασίας από ιούς».
Η εξέλιξη έρχεται καθώς τα εργαστήρια Fortinet FortiGuard αποκάλυψαν μια phishing εκστρατεία που στοχεύει ισπανόφωνους με μια ενημερωμένη έκδοση ενός keylogger και κλέφτη πληροφοριών, γνωστού ως Agent Tesla.
Η αλυσίδα επίθεσης εκμεταλλεύεται συνημμένα αρχεία Microsoft Excel Add-Ins (XLA) που χρησιμοποιούν γνωστά ελαττώματα ασφαλείας (CVE-2017-0199 και CVE-2017-11882), ενεργοποιώντας την εκτέλεση κώδικα JavaScript που φορτώνει ένα σενάριο PowerShell σχεδιασμένο να εκκινεί έναν loader και να ανακτά το Agent Tesla από έναν απομακρυσμένο server.
Διαβάστε ακόμη: Malware μπορεί να κλέψει δεδομένα που συλλέγονται από το Windows Recall
“Αυτή η παραλλαγή συλλέγει διαπιστευτήρια και επαφές email από τη συσκευή του θύματος, το λογισμικό από το οποίο συλλέγει τα δεδομένα και τις βασικές πληροφορίες της συσκευής του θύματος”, δήλωσε ο ερευνητής ασφαλείας Xiaopeng Zhang. “Το Agent Tesla μπορεί επίσης να συλλέξει τις επαφές ηλεκτρονικού ταχυδρομείου του θύματος αν αυτό χρησιμοποιεί το Thunderbird ως πρόγραμμα-πελάτη email.”
Πηγή: thehackernews
