Investigadores de ciberseguridad han descubierto una versi\u00f3n actualizada de malware llamada ValleRAT<\/strong> que se est\u00e1 distribuyendo como parte de una nueva campa\u00f1a.<\/p>\n “En la \u00faltima versi\u00f3n, ValleyRAT introdujo nuevos comandos, como capturar capturas de pantalla, filtrar procesos, forzar el apagado y borrar registros de eventos de Windows”, dijeron los investigadores de Zscaler ThreatLabz, Muhammed Irfan VA y Manisha Ramcharan Prajapati. dicho<\/a>.<\/p>\n ValleyRAT fue documentado previamente por QiAnXin y Proofpoint en 2023 en relaci\u00f3n con una campa\u00f1a de phishing dirigida a usuarios de habla china y organizaciones japonesas que distribu\u00edan varias familias de malware como Purple Fox y una variante del troyano Gh0st RAT conocido como Sainbox RAT (tambi\u00e9n conocido como FatalRAT).<\/p>\n Se ha evaluado que el malware es obra de un actor de amenazas con sede en China, que se jacta de tener capacidades para recopilar informaci\u00f3n confidencial y lanzar cargas \u00fatiles adicionales en los hosts comprometidos.<\/p>\n El punto de partida es un descargador que utiliza un servidor de archivos HTTP (HFS) para recuperar un archivo llamado “NTUSER.DXM” que se decodifica para extraer un archivo DLL responsable de descargar “client.exe” del mismo servidor.<\/p>\n La DLL descifrada tambi\u00e9n est\u00e1 dise\u00f1ada para detectar y eliminar soluciones antimalware de Qihoo 360 y WinRAR en un esfuerzo por evadir el an\u00e1lisis, despu\u00e9s de lo cual el descargador procede a recuperar tres archivos m\u00e1s: “WINWORD2013.EXE”, “wwlib.dll” y “xig.ppt” \u2013 del servidor HFS.<\/p>\n A continuaci\u00f3n, el malware inicia “WINWORD2013.EXE”, un ejecutable leg\u00edtimo asociado con Microsoft Word, y lo utiliza para carga lateral<\/a> “wwlib.dll” que, a su vez, establece persistencia en el sistema y carga “xig.ppt” en la memoria.<\/p>\n “A partir de aqu\u00ed, el ‘xig.ppt’ descifrado contin\u00faa el proceso de ejecuci\u00f3n como mecanismo para descifrar e inyectar c\u00f3digo shell en svchost.exe”, dijeron los investigadores. “El malware crea svchost.exe como un proceso suspendido, asigna memoria dentro del proceso y escribe shellcode all\u00ed”.<\/p>\n El shellcode, por su parte, contiene la configuraci\u00f3n necesaria para contactar a un servidor de comando y control (C2) y descargar la carga \u00fatil de ValleyRAT en forma de archivo DLL. <\/p>\n “ValleyRAT utiliza un intrincado proceso de m\u00faltiples etapas para infectar un sistema con la carga \u00fatil final que realiza la mayor\u00eda de las operaciones maliciosas”, dijeron los investigadores. “Este enfoque por etapas combinado con la carga lateral de DLL probablemente est\u00e9 dise\u00f1ado para evadir mejor las soluciones de seguridad basadas en host, como EDR y aplicaciones antivirus”.<\/p>\n El desarrollo se produce cuando Fortinet FortiGuard Labs descubri\u00f3 una campa\u00f1a de phishing dirigida a personas de habla hispana con una versi\u00f3n actualizada de un registrador de pulsaciones y ladr\u00f3n de informaci\u00f3n llamado Agent Tesla.<\/p>\n La cadena de ataque aprovecha los archivos adjuntos de complementos de Microsoft Excel (XLA) que explotan fallas de seguridad conocidas (CVE-2017-0199<\/a> y CVE-2017-11882<\/a>) para activar la ejecuci\u00f3n de c\u00f3digo JavaScript que carga un script de PowerShell, que est\u00e1 dise\u00f1ado para iniciar un cargador con el fin de recuperar el Agente Tesla de un servidor remoto.<\/p>\n “Esta variante recopila credenciales y contactos de correo electr\u00f3nico del dispositivo de la v\u00edctima, el software del que recopila los datos y la informaci\u00f3n b\u00e1sica del dispositivo de la v\u00edctima”, dijo el investigador de seguridad Xiaopeng Zhang. dicho<\/a>. “El agente Tesla tambi\u00e9n puede recopilar los contactos de correo electr\u00f3nico de la v\u00edctima si utiliza Thunderbird como cliente de correo electr\u00f3nico”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/El-malware-ValleyRAT-vinculado-a-China-resurge-con-tacticas-avanzadas.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n