Les chercheurs en cybersécurité ont découvert une version mise à jour d’un malware appelée ValléeRAT qui est distribué dans le cadre d’une nouvelle campagne.
« Dans la dernière version, ValleyRAT a introduit de nouvelles commandes, telles que la capture de captures d’écran, le filtrage des processus, l’arrêt forcé et l’effacement des journaux d’événements Windows », ont déclaré Muhammed Irfan VA et Manisha Ramcharan Prajapati, chercheurs de Zscaler ThreatLabz. dit.
ValleyRAT avait déjà été documenté par QiAnXin et Proofpoint en 2023 dans le cadre d’une campagne de phishing ciblant les utilisateurs sinophones et les organisations japonaises qui distribuait diverses familles de malwares telles que Purple Fox et une variante du cheval de Troie Gh0st RAT connue sous le nom de Sainbox RAT (alias FatalRAT).
Le malware a été évalué comme étant l’œuvre d’un acteur malveillant basé en Chine, doté de capacités permettant de collecter des informations sensibles et de déposer des charges utiles supplémentaires sur des hôtes compromis.
Le point de départ est un téléchargeur qui utilise un serveur de fichiers HTTP (HFS) pour récupérer un fichier nommé « NTUSER.DXM » qui est décodé pour extraire un fichier DLL responsable du téléchargement de « client.exe » à partir du même serveur.
La DLL décryptée est également conçue pour détecter et mettre fin aux solutions anti-malware de Qihoo 360 et WinRAR dans le but d’échapper à l’analyse, après quoi le téléchargeur procède à la récupération de trois autres fichiers : « WINWORD2013.EXE », « wwlib.dll » et « xig.ppt » – depuis le serveur HFS.
Ensuite, le malware lance « WINWORD2013.EXE », un exécutable légitime associé à Microsoft Word, en l’utilisant pour chargement latéral « wwlib.dll » qui, à son tour, établit la persistance sur le système et charge « xig.ppt » en mémoire.
« A partir de là, le ‘xig.ppt’ déchiffré poursuit le processus d’exécution en tant que mécanisme permettant de décrypter et d’injecter du shellcode dans svchost.exe », ont indiqué les chercheurs. « Le malware crée svchost.exe en tant que processus suspendu, alloue de la mémoire au sein du processus et y écrit du shellcode. »
Le shellcode, quant à lui, contient la configuration nécessaire pour contacter un serveur de commande et de contrôle (C2) et télécharger la charge utile ValleyRAT sous la forme d’un fichier DLL.
« ValleyRAT utilise un processus alambiqué en plusieurs étapes pour infecter un système avec la charge utile finale qui effectue la majorité des opérations malveillantes », ont expliqué les chercheurs. « Cette approche par étapes combinée au chargement latéral des DLL est probablement conçue pour mieux échapper aux solutions de sécurité basées sur l’hôte telles que les EDR et les applications antivirus. »
Ce développement intervient alors que les laboratoires Fortinet FortiGuard ont découvert une campagne de phishing ciblant les hispanophones avec une version mise à jour d’un enregistreur de frappe et voleur d’informations appelé Agent Tesla.
La chaîne d’attaque tire parti des pièces jointes de Microsoft Excel Add-Ins (XLA) qui exploitent des failles de sécurité connues (CVE-2017-0199 et CVE-2017-11882) pour déclencher l’exécution d’un code JavaScript qui charge un script PowerShell, conçu pour lancer un chargeur afin de récupérer l’agent Tesla à partir d’un serveur distant.
« Cette variante collecte les informations d’identification et les contacts électroniques de l’appareil de la victime, le logiciel à partir duquel elle collecte les données et les informations de base de l’appareil de la victime », a déclaré le chercheur en sécurité Xiaopeng Zhang. dit. « L’agent Tesla peut également collecter les contacts de messagerie de la victime si celle-ci utilise Thunderbird comme client de messagerie. »