Carding
Professional
- Messages
- 2,871
- Reaction score
- 2,352
- Points
- 113

Носители китайского языка все чаще становятся мишенью в рамках многочисленных фишинговых кампаний по электронной почте, целью которых является распространение различных семейств вредоносных программ, таких как Sainbox RAT, Purple Fox и новый троянец под названием ValleyRAT.
"Кампании включают приманки на китайском языке и вредоносное ПО, обычно связанное с китайской киберпреступностью", - говорится в отчете фирмы по корпоративной безопасности Proofpoint, опубликованном в Hacker News.
Активность, наблюдаемая с начала 2023 года, влечет за собой отправку сообщений электронной почты, содержащих URL-адреса, указывающие на сжатые исполняемые файлы, которые отвечают за установку вредоносного ПО. Было обнаружено, что другие цепочки заражения используют вложения Microsoft Excel и PDF, в которые вставляются эти URL-адреса, для запуска вредоносной активности.
Эти кампании демонстрируют различия в использовании инфраструктуры, доменов отправителей, содержимого электронной почты, таргетинга и полезной нагрузки, что указывает на то, что атаки совершаются разными группами угроз.
В 2023 году было обнаружено более 30 таких кампаний, в которых используются вредоносные программы, обычно связанные с китайской киберпреступностью. Говорят, что с апреля 2023 года не менее 20 из этих кампаний доставили Sainbox, вариант троянца Gh0st RAT, который также известен как FatalRAT.
Proofpoint сообщила, что выявила по меньшей мере три другие кампании, распространяющие вредоносное ПО Purple Fox, и шесть дополнительных кампаний, распространяющих зарождающийся штамм вредоносного ПО, получивший название ValleyRAT, последняя из которых началась 21 марта 2023 года.
ValleyRAT, впервые задокументированная китайской фирмой по кибербезопасности Qi An Xin в феврале 2023 года, написана на C ++ и содержит функции, традиционно присущие троянам удаленного доступа, такие как извлечение и выполнение дополнительных полезных нагрузок (DLL и двоичных файлов), отправляемых с удаленного сервера, и перечисление запущенных процессов, среди прочего.
Хотя Gh0st RAT на протяжении многих лет широко использовался в различных кибератаках, связанных с Китаем, появление ValleyRAT предполагает, что он может широко использоваться в будущем.
"Рост активности вредоносных программ на китайском языке указывает на расширение китайской экосистемы вредоносных программ либо за счет повышения доступности, либо за счет облегчения доступа к полезным нагрузкам и целевым спискам, а также потенциально повышенной активности операторов киберпреступности, говорящих на китайском языке", - говорится в сообщении компании.