Исследователи кибербезопасности обнаружили обновленную версию вредоносного ПО под названием ValleyRAT, которое распространяется в рамках новой кампании.
"В последней версии ValleyRAT представила новые команды, такие как создание скриншотов, фильтрация процессов, принудительное завершение работы и очистка журналов событий Windows", - сказали исследователи Zscaler ThreatLabZ Мухаммед Ирфан В.А. и Маниша Рамчаран Праджапати.
Компания QiAnXin и Proofpoint ранее задокументировала ValleyRAT в 2023 году в связи с фишинговой кампанией, нацеленной на китайскоязычных пользователей и японские организации, которые распространяли различные семейства вредоносных программ, такие как Purple Fox и разновидность троянца Gh0st RAT, известного как Sainbox RAT (он же FatalRAT).
Было оценено, что вредоносное ПО является работой китайского злоумышленника, обладающего возможностями собирать конфиденциальную информацию и сбрасывать дополнительную полезную нагрузку на скомпрометированные хосты.
Отправной точкой является загрузчик, который использует HTTP-файловый сервер (HFS) для получения файла с именем "NTUSER.DXM", который декодируется для извлечения DLL-файла, ответственного за загрузку "client.exe" с того же сервера.
Расшифрованная библиотека DLL также предназначена для обнаружения и прекращения работы антивирусных решений Qihoo 360 и WinRAR в попытке избежать анализа, после чего загрузчик переходит к извлечению еще трех файлов – "WINWORD2013.EXE," "wwlib.dll,"и "xig.ppt" – с сервера HFS.
Затем вредоносная программа запускает "WINWORD2013.EXE," законный исполняемый файл, связанный с Microsoft Word, используя его для дополнительной загрузки "wwlib.dll " который, в свою очередь, обеспечивает сохраняемость в системе и загружается "xig.ppt" в память.
"С этого момента расшифрованный 'xig.ppt' продолжает процесс выполнения как механизм для расшифровки и внедрения шелл-кода в svchost.exe", - сказали исследователи. "Вредоносная программа создается svchost.exe как приостановленный процесс, выделяет память внутри процесса и записывает туда шелл-код".
Шелл-код, со своей стороны, содержит необходимую конфигурацию для связи с сервером командования и управления (C2) и загрузки полезной нагрузки ValleyRAT в виде DLL-файла.
"ValleyRAT использует сложный многоступенчатый процесс для заражения системы конечной полезной нагрузкой, которая выполняет большинство вредоносных операций", - сказали исследователи. "Этот поэтапный подход в сочетании с загрузкой DLL на стороне, вероятно, разработан для того, чтобы лучше обходить решения безопасности на базе хостинга, такие как EDR и антивирусные приложения".
Разработка началась после того, как Fortinet FortiGuard Labs раскрыла фишинговую кампанию, нацеленную на испаноговорящих пользователей, с использованием обновленной версии кейлоггера и похитителя информации под названием Agent Tesla.
Цепочка атак использует вложения файлов надстроек Microsoft Excel (XLA), которые используют известные уязвимости безопасности (CVE-2017-0199 и CVE-2017-11882), чтобы запустить JavaScript-код, который загружает сценарий PowerShell, разработанный для запуска загрузчика для извлечения агента Tesla с удаленного сервера.
"Этот вариант собирает учетные данные и контакты электронной почты с устройства жертвы, программное обеспечение, с помощью которого он собирает данные, и основную информацию устройства жертвы", - сказал исследователь безопасности Сяопэн Чжан. "Агент Tesla также может собирать электронную почту контактов жертвы, если они используют Thunderbird в качестве своего почтового клиента".
