Ciberseguridad 360 | Sitios falsos de Google Chrome propagan malware ValleyRAT a través del secuestro de DLL

Se han utilizado sitios web falsos que anuncian Google Chrome para distribuir instaladores maliciosos de un troyano de acceso remoto llamado ValleyRAT.

El malware, detectado por primera vez en 2023, se atribuye a un actor de amenazas rastreado como Silver Fox, con campa�as de ataque anteriores dirigidas principalmente a regiones de habla china como Hong Kong, Taiw�n y China continental.

El investigador de Morphisec Shmuel Uzan afirma en un informe publicado a principios de esta semana que "este actor se ha dirigido cada vez m�s a puestos clave dentro de las organizaciones, en particular en los departamentos de finanzas, contabilidad y ventas, lo que pone de relieve un enfoque estrat�gico en puestos de alto valor con acceso a datos y sistemas sensibles".

Se han observado las primeras cadenas de ataque que distribuyen ValleyRAT junto con otras familias de malware como Purple Fox y Gh0st RAT, esta �ltima muy utilizada por varios grupos de hackers chinos.

El mes pasado, instaladores falsificados de software leg�timo sirvieron como mecanismo de distribuci�n del troyano mediante un cargador DLL llamado PNGPlug.

Vale la pena se�alar que un esquema de descarga drive-by dirigido a usuarios de Windows de habla china se utiliz� anteriormente para desplegar Gh0st RAT utilizando paquetes de instalaci�n maliciosos para el navegador web Chrome.

De forma similar, la �ltima secuencia de ataque asociada con ValleyRAT implica el uso de un sitio web falso de Google Chrome para enga�ar a los objetivos y hacerles descargar un archivo ZIP que contiene un ejecutable ("Setup.exe").

El director de tecnolog�a de Morphisec, Michael Gorelik, declar� a The Hacker News que existen pruebas que conectan los dos grupos de actividades, y que el sitio web enga�oso del instalador de Chrome se utiliz� anteriormente para descargar la carga �til de Gh0st RAT.

"Esta campa�a se dirig�a espec�ficamente a usuarios de habla china, como indica el uso de se�uelos web en chino y aplicaciones destinadas al robo de datos y la evasi�n de las defensas por parte del malware", dijo Gorelik.

"Los enlaces a los sitios falsos de Chrome se distribuyen principalmente a trav�s de esquemas de drive-by download. Los usuarios que buscan el navegador Chrome son dirigidos a estos sitios maliciosos, donde descargan inadvertidamente el falso instalador. Este m�todo se aprovecha de la confianza de los usuarios en las descargas leg�timas de software, haci�ndolos susceptibles a la infecci�n."

Una vez ejecutado, el binario de instalaci�n comprueba si tiene privilegios de administrador y procede a descargar cuatro cargas �tiles adicionales, incluido un ejecutable leg�timo asociado a Douyin ("Douyin.exe"), la versi�n china de TikTok, que se utiliza para cargar una DLL maliciosa ("tier0.dll"), que a su vez lanza el malware ValleyRAT.

Tambi�n se recupera otro archivo DLL ("sscronet.dll"), responsable de terminar cualquier proceso en ejecuci�n presente en una lista de exclusi�n.

Compilado en chino y escrito en C++, ValleyRAT es un troyano dise�ado para monitorizar el contenido de la pantalla, registrar las pulsaciones de teclado y establecer persistencia en el host. Tambi�n es capaz de iniciar comunicaciones con un servidor remoto a la espera de nuevas instrucciones que le permitan enumerar procesos, as� como descargar y ejecutar DLL y binarios arbitrarios, entre otros.

"Para la inyecci�n de la carga �til, el atacante abus� de ejecutables leg�timos firmados que eran vulnerables al secuestro del orden de b�squeda de DLL", dijo Uzan.

El desarrollo se produce cuando Sophos comparti� detalles de ataques de phishing que emplean adjuntos de gr�ficos vectoriales escalables (SVG) para evadir la detecci�n y entregar un malware de registro de pulsaciones de teclas basado en AutoIt como Nymeria o dirigir a los usuarios a p�ginas de recolecci�n de credenciales.

Fuente: thehackernews