Los investigadores de ciberseguridad están llamando la atención sobre una serie de ataques cibernéticos que se han dirigido a regiones de habla china como Hong Kong, Taiwán y China continental con un conocido malware llamado ValleyRAT.
Los ataques aprovechan un cargador de varias etapas denominado PNGPlug para entregar la carga útil ValleyRAT, Intezer. dicho en un informe técnico publicado la semana pasada.
El cadena de infección comienza con una página de phishing diseñada para alentar a las víctimas a descargar un paquete malicioso de Microsoft Installer (MSI) disfrazado de software legítimo.
Una vez ejecutado, el instalador implementa una aplicación benigna para evitar despertar sospechas y, al mismo tiempo, extrae sigilosamente un archivo cifrado que contiene la carga útil del malware.
“El paquete MSI utiliza la función CustomAction de Windows Installer, lo que le permite ejecutar código malicioso, incluida la ejecución de una DLL maliciosa integrada que descifra el archivo (all.zip) usando una contraseña codificada ‘hello202411’ para extraer los componentes principales del malware”, dijo el investigador de seguridad. Dijo Nicole Fishbein.
Estos incluyen una DLL fraudulenta (“libcef.dll”), una aplicación legítima (“down.exe”) que se utiliza como tapadera para ocultar las actividades maliciosas y dos archivos de carga útiles disfrazados de imágenes PNG (“aut.png” y ” ver.png”).
El objetivo principal del cargador de DLL, PNGPlug, es preparar el entorno para ejecutar el malware principal inyectando “aut.png” y “view.png” en la memoria para configurar la persistencia realizando cambios en el Registro de Windows y ejecutando ValleyRAT. respectivamente.
ValleyRAT, detectado en estado salvaje desde 2023, es un troyano de acceso remoto (RAT) que es capaz de proporcionar a los atacantes acceso no autorizado y control sobre las máquinas infectadas. Las versiones recientes del malware han incorporado funciones para realizar capturas de pantalla y borrar registros de eventos de Windows.
Se considera que está vinculado a un grupo de amenazas llamado Silver Fox, que también comparte superposiciones tácticas con otro grupo de actividades llamado Void Arachne debido al uso de un marco de comando y control (C&C) llamado Winos 4.0.
La campaña es única por su enfoque en el grupo demográfico de habla china y el uso de señuelos relacionados con software para activar la cadena de ataque.
“Igualmente sorprendente es el uso sofisticado de software legítimo por parte de los atacantes como mecanismo de entrega de malware, combinando a la perfección actividades maliciosas con aplicaciones aparentemente benignas”, dijo Fishbein.
“La adaptabilidad del cargador PNGPlug eleva aún más la amenaza, ya que su diseño modular permite adaptarlo a múltiples campañas”.
About the Author
