11 de junio de 2024Sala de prensa Malware/Ciberataque
Investigadores de ciberseguridad descubrieron una versión actualizada de malware llamada ValleyRAT que se distribuye como parte de una nueva campaña.
“En la última versión, ValleyRAT introdujo nuevos comandos como capturar capturas de pantalla, filtrar procesos, forzar el apagado y borrar registros de eventos de Windows”, dijeron Muhammed Irfan VA y Manisha Ramcharan Prajapati, investigadores de Zscaler ThreatLabz.
ValleyRAT fue documentado por QiAnXin y Proofpoint en 2023 y está asociado con campañas de phishing dirigidas a usuarios de habla china y organizaciones japonesas, también conocido como Purple Fox y Sainbox RAT (también conocido como FatalRAT). Distribuyó varias familias de malware, incluidas variantes de Gh0st. Troyano RAT.
Este malware se ha atribuido a un actor de amenazas con sede en China que cuenta con la capacidad de recopilar información confidencial y colocar cargas útiles adicionales en hosts comprometidos.
El punto de partida es un descargador que utiliza un servidor de archivos HTTP (HFS) para recuperar un archivo llamado “NTUSER.DXM”, lo decodifica y extrae el archivo DLL que descarga “client.exe” del mismo servidor.
La DLL descifrada también está diseñada para detectar y finalizar las soluciones antimalware Qihoo 360 y WinRAR para evitar el análisis, después de lo cual el descargador descarga tres archivos más del servidor HFS (“WINWORD2013. EXE”, “wwlib.dll”, “xig. ppp”).
Luego, el malware inicia WINWORD2013.EXE, un ejecutable legítimo asociado con Microsoft Word, y lo utiliza para descargar wwlib.dll. Esto establece persistencia en el sistema y carga ‘xig.ppt’ en la memoria.
“A partir de aquí, el ‘xig.ppt’ descifrado continúa el proceso de ejecución como mecanismo para descifrar e inyectar código shell en svchost.exe”, dijeron los investigadores. “El malware crea svchost.exe como un proceso suspendido, asigna memoria dentro del proceso y le escribe shellcode”.
El shellcode, por otro lado, contiene la configuración necesaria para conectarse a un servidor de comando y control (C2) y descargar la carga útil de ValleyRAT en forma de archivo DLL.
“ValleyRAT utiliza un proceso complejo de varios pasos para infectar sistemas con una carga útil final que realiza la mayor parte de sus operaciones maliciosas”, dijeron los investigadores. “Este enfoque paso a paso, combinado con la descarga de DLL, puede potencialmente evadir mejor las soluciones de seguridad basadas en host, como EDR y aplicaciones antivirus”.
El desarrollo se produce después de que Fortinet FortiGuard Labs descubriera una campaña de phishing dirigida a personas de habla hispana que utilizaba la última versión de un registrador de teclas y una herramienta de robo de información llamada Agent Tesla.
Esta cadena de ataque aprovecha un complemento de Microsoft Excel (XLA) que explota fallas de seguridad conocidas (CVE-2017-0199 y CVE-2017-11882) para ejecutar código JavaScript que carga un script de PowerShell. Este script está diseñado para iniciar un cargador para recuperar el Agente Tesla de un servidor remoto.
“Esta variante recopila credenciales y contactos de correo electrónico del dispositivo de la víctima, el software de recopilación de datos e información básica sobre el dispositivo de la víctima”, dijo el investigador de seguridad Xiaopeng Zhang. “El Agente Tesla también puede recopilar los contactos de correo electrónico de la víctima si ésta utiliza Thunderbird como cliente de correo electrónico”.
¿Te pareció interesante este artículo?sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
Fuente: https://thehackernews.com/2024/06/china-linked-valleyrat-malware.html
