Sites falsos do Google Chrome espalham o malware ValleyRAT através do sequestro de DLL

O malware, detectado pela primeira vez em 2023, é atribuído a um agente de ameaça identificado como Silver Fox, com campanhas de ataque anteriores tendo como alvo principalmente regiões de língua chinesa, como Hong Kong, Taiwan e China continental.

“Esse ator tem cada vez mais focado em cargos essenciais dentro das organizações — especialmente nos setores financeiro, contábil e de vendas — ressaltando um interesse estratégico em posições de alto valor com acesso a dados e sistemas sigilosos”, disse o pesquisador da Morphisec, Shmuel Uzan, em um relatório divulgado no início desta semana.

As primeiras cadeias de ataque foram identificadas distribuindo o ValleyRAT junto com outras famílias de malware, como Purple Fox e Gh0st RAT, sendo este último amplamente empregado por diversos grupos de hackers chineses.

No mês passado, instaladores falsificados de software legítimo foram utilizados como meio de distribuição do trojan por meio de um carregador de DLL chamado PNGPlug.

É importante destacar que um esquema de download drive-by voltado para usuários do Windows que falam chinês já foi usado anteriormente para implantar o Gh0st RAT, por meio de pacotes de instalação maliciosos do navegador Chrome.

De maneira similar, a cadeia de ataque mais recente associada ao ValleyRAT envolve a utilização de um site falso do Google Chrome para enganar as vítimas e levá-las a baixar um arquivo ZIP contendo um executável (“Setup.exe”).

O binário, ao ser iniciado, verifica se possui permissões de administrador e, em seguida, baixa quatro cargas adicionais, incluindo um executável legítimo vinculado ao Douyin (“Douyin.exe”), a versão chinesa do TikTok. Esse arquivo é usado para realizar o sideload de uma DLL maliciosa (“tier0.dll”), que então ativa o malware ValleyRAT.

Além disso, outro arquivo DLL (“sscronet.dll”) é baixado, sendo responsável por encerrar qualquer processo em execução que esteja listado como alvo para exclusão.

Compilado em chinês e escrito em C++, ValleyRAT é um trojan que foi projetado para monitorar o conteúdo da tela, registrar pressionamentos de tecla e estabelecer persistência no host. Ele também é capaz de iniciar comunicações com um servidor remoto para aguardar instruções adicionais que permitam enumerar processos, bem como baixar e executar DLLs e binários arbitrários, entre outros.

“Para injeção de carga útil, o invasor abusou de executáveis ​​assinados legítimos que eram vulneráveis ​​ao sequestro de ordem de pesquisa de DLL”, disse Uzan.

O desenvolvimento ocorre no momento em que a Sophos compartilhou detalhes de ataques de phishing que empregam anexos de Scalable Vector Graphics ( SVG ) para evitar a detecção e entregar um malware registrador de teclas baseado em AutoIt, como o Nymeria, ou direcionar os usuários para páginas de coleta de credenciais.