Los investigadores de ciberseguridad est\u00e1n llamando la atenci\u00f3n sobre una serie de ataques cibern\u00e9ticos que se han dirigido a regiones de habla china como Hong Kong, Taiw\u00e1n y China continental con un conocido malware llamado ValleyRAT.<\/p>\n
Los ataques aprovechan un cargador de varias etapas denominado PNGPlug para entregar la carga \u00fatil ValleyRAT, Intezer. dicho<\/a> en un informe t\u00e9cnico publicado la semana pasada.<\/p>\n El cadena de infecci\u00f3n<\/a> comienza con una p\u00e1gina de phishing dise\u00f1ada para alentar a las v\u00edctimas a descargar un paquete malicioso de Microsoft Installer (MSI) disfrazado de software leg\u00edtimo. <\/p>\n Una vez ejecutado, el instalador implementa una aplicaci\u00f3n benigna para evitar despertar sospechas y, al mismo tiempo, extrae sigilosamente un archivo cifrado que contiene la carga \u00fatil del malware.<\/p>\n “El paquete MSI utiliza la funci\u00f3n CustomAction de Windows Installer, lo que le permite ejecutar c\u00f3digo malicioso, incluida la ejecuci\u00f3n de una DLL maliciosa integrada que descifra el archivo (all.zip) usando una contrase\u00f1a codificada ‘hello202411’ para extraer los componentes principales del malware”, dijo el investigador de seguridad. Dijo Nicole Fishbein.<\/p>\n Estos incluyen una DLL fraudulenta (“libcef.dll”), una aplicaci\u00f3n leg\u00edtima (“down.exe”) que se utiliza como tapadera para ocultar las actividades maliciosas y dos archivos de carga \u00fatiles disfrazados de im\u00e1genes PNG (“aut.png” y ” ver.png”).<\/p>\n El objetivo principal del cargador de DLL, PNGPlug, es preparar el entorno para ejecutar el malware principal inyectando “aut.png” y “view.png” en la memoria para configurar la persistencia realizando cambios en el Registro de Windows y ejecutando ValleyRAT. respectivamente.<\/p>\n ValleyRAT, detectado en estado salvaje desde 2023, es un troyano de acceso remoto (RAT) que es capaz de proporcionar a los atacantes acceso no autorizado y control sobre las m\u00e1quinas infectadas. Las versiones recientes del malware han incorporado funciones para realizar capturas de pantalla y borrar registros de eventos de Windows.<\/p>\n Se considera que est\u00e1 vinculado a un grupo de amenazas llamado Silver Fox, que tambi\u00e9n comparte superposiciones t\u00e1cticas con otro grupo de actividades llamado Void Arachne debido al uso de un marco de comando y control (C&C) llamado Winos 4.0.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/PNGPlug-Loader-entrega-malware-ValleyRAT-a-traves-de-instaladores-de.png\")
<\/a><\/center><\/div>\n