Lažne web stranice koje promovišu Google Chrome korištene su za distribuciju malicioznih instalatera za trojanski program pod nazivom ValleyRAT.
Malware, koji je prvi put otkriven 2023. godine, pripisuje se prijetnji koju prati naziv Silver Fox, a prethodne napade su uglavnom ciljali kineski govorni svijet, uključujući Hong Kong, Tajvan i Kinu.
„Ovaj napadač sve više cilja ključne uloge unutar organizacija – posebno u finansijama, računovodstvu i prodaji – što naglašava strateški fokus na visokovrijedne pozicije s pristupom osjetljivim podacima i sistemima“, izjavio je istraživač Morphisec-a, Shmuel Uzan, u izvještaju objavljenom ranije ove sedmice.
Rani lanci napada posmatrani su kako distribujišu ValleyRAT zajedno s drugim porodicama malvera poput Purple Fox i Gh0st RAT, pri čemu je Gh0st RAT bio široko korišten od strane kineskih hakerskih grupa.
Kao i prošlog mjeseca, lažni instalateri za legitimni softver korišteni su kao mehanizam distribucije trojanskog programa putem DLL učitavača pod nazivom PNGPlug.
Važno je napomenuti da je ranije korištena metoda drive-by preuzimanja, koja cilja kineske korisnike Windowsa, kako bi se distribuisao Gh0st RAT putem malicioznih instalacijskih paketa za Chrome web preglednik.
Sličan napad povezan s ValleyRAT uključuje korištenje lažne Google Chrome stranice za zavaravanje žrtava da preuzmu ZIP arhivu koja sadrži izvršni fajl (“Setup.exe”).
CTO Morphisec-a, Michael Gorelik, izjavio je za The Hacker News da postoji dokaz koji povezuje ove dvije aktivnosti i da je lažna Chrome stranica ranije korištena za preuzimanje Gh0st RAT payload-a.
„Ova kampanja specifično cilja korisnike koji govore kineski, što je naznačeno korištenjem web linkova na kineskom jeziku i aplikacija koje imaju za cilj krađu podataka i izbjegavanje obrambenih mehanizama od strane malvera“, rekao je Gorelik.
„Linkovi prema lažnim Chrome stranicama uglavnom se distribuišu putem drive-by preuzimanja. Korisnici koji pretražuju Chrome pretraživač usmjereni su na ove zle stranice, gdje nenamjerno preuzimaju lažni instalater. Ova metoda iskorištava povjerenje korisnika u legitimna preuzimanja softvera, čineći ih podložnima infekcijama.“
Nakon izvršenja, postavke postavljaju provjeru ima li aplikacija administratorske privilegije, a zatim preuzima četiri dodatna payload-a, uključujući legitimni izvršni fajl povezan s Douyinom (“Douyin.exe”), kineskom verzijom TikTok-a, koji koristi za učitavanje lažnog DLL-a (“tier0.dll”) koji pokreće ValleyRAT.
Takođe, preuzima se još jedan DLL fajl (“sscronet.dll”), koji je odgovoran za zaustavljanje svih aktivnih procesa koji se nalaze na popisu isključenja.
Sastavljen na kineskom jeziku i napisan u C++, ValleyRAT je trojanski program dizajniran za praćenje sadržaja ekrana, snimanje pritisnutih tastera i uspostavljanje trajne prisutnosti na hostu. Takođe je sposoban za uspostavljanje komunikacije s udaljenim server i čekanje daljnjih uputa koje mu omogućuju nabrajanje procesa, kao i preuzimanje i izvršavanje proizvoljnih DLL-ova i binarnih fajlova, među ostalim.
„Za injekciju payload-a, napadač je iskorištava legitimne potpisane izvršne fajlove koji su bili ranjivi na DLL hijacking“, rekao je Uzan.
Ovaj razvoj dolazi u isto vrijeme kada je Sophos podijelio detalje o phishing napadima koji koriste Scalable Vector Graphics (SVG) privitke kako bi izbjegli detekciju i dostavili malware temeljene na AutoIt keystroke loggerima poput Nymeria ili direktno upućivali korisnike na stranice za krađu kredicijala.
Izvor:The Hacker News