Los sitios web falsos que anuncia Google Chrome se ha utilizado para distribuir instaladores maliciosos para un troyano de acceso remoto llamado Valleyrat.<\/p>\n
El malware, detectado por primera vez en 2023, se atribuye a un actor de amenazas rastreado como Silver Fox, con campa\u00f1as de ataque previas, principalmente a regiones de habla china como Hong Kong, Taiw\u00e1n y China continental.<\/p>\n
“Este actor ha dirigido cada vez m\u00e1s roles clave dentro de las organizaciones, particularmente en el departamento de finanzas, contabilidad y ventas, destacando un enfoque estrat\u00e9gico en posiciones de alto valor con acceso a datos y sistemas confidenciales”, el investigador de Morphisec, Shmuel Uzan, dicho<\/a> En un informe publicado a principios de esta semana.<\/p>\n Se han observado que las primeras cadenas de ataque entregan Valleyrat junto con otras familias de malware como Purple Fox y GH0st Rat, la \u00faltima de las cuales ha sido ampliamente utilizada por varios grupos de pirater\u00eda chinos.<\/p>\n Tan recientemente como el mes pasado, los instaladores falsificados para el software leg\u00edtimo han servido como mecanismo de distribuci\u00f3n para el troyano mediante un cargador DLL llamado PNGPlug.<\/p>\n Vale la pena se\u00f1alar que un esquema de descarga de transmisi\u00f3n dirigida a los usuarios de Windows de habla china se us\u00f3 previamente para implementar la rata GH0st utilizando paquetes de instalador malicioso para el navegador web Chrome.<\/p>\n De manera similar, la \u00faltima secuencia de ataque asociada con Valleyrat implica el uso de un sitio web falso de Google Chrome para enga\u00f1ar a los objetivos para descargar un archivo ZIP que contiene un ejecutable (“Setup.exe”).<\/p>\n El binario, tras la ejecuci\u00f3n, verifica si tiene privilegios de administrador y luego procede a descargar cuatro cargas \u00fatiles adicionales, incluido un ejecutable leg\u00edtimo asociado con douyin (“douyin.exe”), la versi\u00f3n china de Tiktok, que se usa para dejar un DLL rebelde ( “Tier0.dll”), que luego lanza el malware Valleyrat.<\/p>\n Tambi\u00e9n se recupera otro archivo DLL (“sscronet.dll”), que es responsable de finalizar cualquier proceso de ejecuci\u00f3n presente en una lista de exclusi\u00f3n.<\/p>\n Compilado en chino y escrito en C ++, Valleyrat es un troyano dise\u00f1ado para monitorear el contenido de la pantalla, registrar las teclas de registro y establecer persistencia en el host. Tambi\u00e9n es capaz de iniciar comunicaciones con un servidor remoto para esperar m\u00e1s instrucciones que le permitan enumerar los procesos, as\u00ed como descargar y ejecutar DLL y binarios arbitrarios, entre otros.<\/p>\n “Para la inyecci\u00f3n de carga \u00fatil, el atacante abus\u00f3 de ejecutables leg\u00edtimos leg\u00edtimos que eran vulnerables al secuestro de orden de b\u00fasqueda de DLL”, dijo Uzan.<\/p>\n El desarrollo viene como Sophos detalles compartidos<\/a> de ataques de phishing que emplean gr\u00e1ficos vectoriales escalables (SVG<\/a>) Adjuntos para evadir la detecci\u00f3n y entregar un malware de registrador de teclas basado en autopsia como Nymeria o usuarios directos a las p\u00e1ginas de recolecci\u00f3n de credenciales.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Los-sitios-falsos-de-Google-Chrome-distribuyen-malware-Valleyrat-a.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n