Исследователи в области кибербезопасности обнаружили обновлённую версию зловредного ПО ValleyRAT, распространяемую в рамках новой вредоносной кампании.
“В последней версии ValleyRAT введены новые команды, такие как захват скриншотов, фильтрация процессов, принудительное завершение работы и очистка журналов событий Windows”, – сообщили исследователи Zscaler.
ValleyRAT ранее был задокументирован QiAnXin и Proofpoint в 2023 году в связи с фишинговой кампанией, направленной на китаеязычных пользователей и японские организации. Кампания распространяла различные семейства вредоносных программ, такие как Purple Fox и вариант трояна Gh0st RAT, известный как Sainbox RAT (он же FatalRAT).
Считается, что вредоносное ПО разработано группой, базирующейся в Китае, и обладает возможностями сбора конфиденциальной информации и внедрения дополнительных полезных нагрузок на скомпрометированные устройства.
Начальной точкой атаки является загрузчик, который использует HTTP File Server (HFS) для загрузки файла “NTUSER.DXM”, который затем декодируется для извлечения DLL-библиотеки, отвечающей за загрузку “client.exe” с того же сервера.
Расшифрованный DLL также предназначен для обнаружения и завершения работы антивирусных решений с целью избежать анализа. Затем загрузчик загружает ещё три файла – “WINWORD2013.EXE,” “wwlib.dll,” и “xig.ppt” – с сервера HFS.
Далее вредоносное ПО запускает “WINWORD2013.EXE”, законный исполняемый файл, связанный с Microsoft Word, и использует его для выполнения DLL Sideloading библиотеки “wwlib.dll”, которая, в свою очередь, устанавливает постоянство в системе и загружает “xig.ppt” в память.
“Отсюда расшифрованный “xig.ppt” продолжает процесс выполнения как механизм для расшифровки и внедрения шелл-кода в “svchost.exe”” – отметили исследователи. “Вредоносное ПО создаёт “svchost.exe” как приостановленный процесс, выделяет память в этом процессе и записывает туда шелл-код.”
Шелл-код, в свою очередь, содержит необходимую конфигурацию для подключения к ” data-html=”true” data-original-title=”C2″ >C2-серверу и загрузки полезной нагрузки ValleyRAT в виде DLL-файла.
“ValleyRAT использует сложный многоэтапный процесс для заражения системы окончательной полезной нагрузкой, выполняющей большинство вредоносных операций”, – заявили исследователи. “Этот многоступенчатый подход в сочетании с использованием DLL Sideloading, вероятно, предназначен для лучшего обхода защитных решений, таких как EDR и антивирусные приложения”.