ValleyRAT: троян-оборотень. Как он заражает компьютеры?

Исследователи в области кибербезопасности обнаружили обновлённую версию зловредного ПО ValleyRAT, распространяемую в рамках новой вредоносной кампании.

«В последней версии ValleyRAT введены новые команды, такие как захват скриншотов, фильтрация процессов, принудительное завершение работы и очистка журналов событий Windows», — сообщили исследователи Zscaler .

ValleyRAT ранее был задокументирован QiAnXin и Proofpoint в 2023 году в связи с фишинговой кампанией, направленной на китаеязычных пользователей и японские организации. Кампания распространяла различные семейства вредоносных программ, такие как Purple Fox и вариант трояна Gh0st RAT, известный как Sainbox RAT (он же FatalRAT).

Считается, что вредоносное ПО разработано группой, базирующейся в Китае, и обладает возможностями сбора конфиденциальной информации и внедрения дополнительных полезных нагрузок на скомпрометированные устройства.

Начальной точкой атаки является загрузчик, который использует HTTP File Server (HFS) для загрузки файла «NTUSER.DXM», который затем декодируется для извлечения DLL -библиотеки, отвечающей за загрузку «client.exe» с того же сервера.

Расшифрованный DLL также предназначен для обнаружения и завершения работы антивирусных решений с целью избежать анализа. Затем загрузчик загружает ещё три файла — «WINWORD2013.EXE», «wwlib.dll» и «xig.ppt» — с сервера HFS.

Далее вредоносное ПО запускает «WINWORD2013.EXE», законный исполняемый файл, связанный с Microsoft Word, и использует его для выполнения DLL Sideloading библиотеки «wwlib.dll», которая, в свою очередь, устанавливает постоянство в системе и загружает «xig.ppt» в память.

«Отсюда расшифрованный "xig.ppt" продолжает процесс выполнения как механизм для расшифровки и внедрения шелл-кода в "svchost.exe"» — отметили исследователи. «Вредоносное ПО создаёт "svchost.exe" как приостановленный процесс, выделяет память в этом процессе и записывает туда шелл-код».

Шелл-код, в свою очередь, содержит необходимую конфигурацию для подключения к C2 -серверу и загрузки полезной нагрузки ValleyRAT в виде DLL-файла.

«ValleyRAT использует сложный многоэтапный процесс для заражения системы финальной полезной нагрузкой, выполняющей большинство вредоносных операций», — заявили исследователи. «Этот многоступенчатый подход в сочетании с использованием DLL Sideloading, вероятно, предназначен для лучшего обхода защитных решений, таких как EDR и антивирусные приложения».