ValleyRAT: призрак в системе, обманывающий антивирусы

В последнее время FortiGuard Labs обнаружили новую кампанию вредоносного ПО ValleyRAT, нацеленную на пользователей, говорящих на китайском языке. Исторически это ПО атакует предприятия в сферах электронной коммерции, финансов, продаж и управления.

ValleyRAT представляет собой многоступенчатое вредоносное ПО, использующее различные методы для мониторинга и контроля своих жертв, а также для развёртывания дополнительных плагинов с целью нанесения большего ущерба. Одной из ключевых особенностей этого ПО является активное использование шеллкода для исполнения компонентов непосредственно в памяти, что значительно снижает следы его присутствия в системе.

Для маскировки ValleyRAT использует иконки легитимных приложений, таких как Microsoft Office, и названия файлов, связанные с финансовыми документами. Это делает его более правдоподобным для пользователей. При запуске программа создаёт пустой файл и открывает его в приложении для работы с документами Microsoft Office, чтобы создать видимость легитимности.

После установки ValleyRAT проверяет, запущен ли он в виртуальной машине, и если обнаруживает признаки виртуализации, прекращает выполнение. Далее, вредоносное ПО использует технику «спящего режима» для обхода систем обнаружения, что затрудняет его идентификацию антивирусными программами.

На этапе инициализации ValleyRAT добавляет задачу в планировщик Windows, чтобы обеспечивать своё автоматическое выполнение при каждом входе пользователя в систему. Также оно использует известные уязвимости легитимных приложений для получения привилегий администратора без уведомления пользователя.

ValleyRAT эффективно обходит антивирусные системы, в частности китайские, что ещё раз подтверждает его целевую направленность на китайских пользователей. Вредоносное ПО убивает процессы антивирусных программ, изменяет их настройки в реестре и предпринимает дополнительные меры для своей незаметности.

Кроме того, ValleyRAT обладает функциональностью для удалённого выполнения команд и загрузки дополнительных компонентов с командного сервера, что позволяет злоумышленникам получать полный контроль над заражённой системой.

Эта вредоносная программа способна выполнять различные команды, такие как мониторинг активности пользователя и установка дополнительных вредоносных модулей, что делает её особенно опасной для жертв.

Fortinet продолжает мониторить активность ValleyRAT и предоставляет обновления для защиты своих клиентов от этой угрозы. Антивирусные решения Fortinet, такие как FortiGate и FortiMail, уже включают сигнатуры для обнаружения и блокировки ValleyRAT.

Для защиты от подобных угроз рекомендуется регулярно обновлять антивирусное программное обеспечение и повышать осведомлённость пользователей о возможных киберугрозах.