ValleyRAT: троян-оборотень. Как он заражает компьютеры?

Простой способ обойти блокировки – купи VPN через Телеграмм-бот:

Многоступенчатый процесс атаки помогает обойти защиту антивирусов и EDR-систем.

Исследователи в области кибербезопасности обнаружили обновлённую версию зловредного ПО ValleyRAT, распространяемую в рамках новой вредоносной кампании.

«В последней версии ValleyRAT введены новые команды, такие как захват скриншотов, фильтрация процессов, принудительное завершение работы и очистка журналов событий Windows», — сообщили исследователи Zscaler.

ValleyRAT ранее был задокументирован QiAnXin и Proofpoint в 2023 году в связи с фишинговой кампанией, направленной на китаеязычных пользователей и японские организации. Кампания распространяла различные семейства вредоносных программ, такие как Purple Fox и вариант трояна Gh0st RAT, известный как Sainbox RAT (он же FatalRAT).

Считается, что вредоносное ПО разработано группой, базирующейся в Китае, и обладает возможностями сбора конфиденциальной информации и внедрения дополнительных полезных нагрузок на скомпрометированные устройства.

В России и ищешь VPN? Покупай через Телеграмм-бот:

Начальной точкой атаки является загрузчик, который использует HTTP File Server (HFS) для загрузки файла «NTUSER.DXM», который затем декодируется для извлечения DLL-библиотеки, отвечающей за загрузку «client.exe» с того же сервера.

Расшифрованный DLL также предназначен для обнаружения и завершения работы антивирусных решений с целью избежать анализа. Затем загрузчик загружает ещё три файла — «WINWORD2013.EXE», «wwlib.dll» и «xig.ppt» — с сервера HFS.

Далее вредоносное ПО запускает «WINWORD2013.EXE», законный исполняемый файл, связанный с Microsoft Word, и использует его для выполнения DLL Sideloading библиотеки «wwlib.dll», которая, в свою очередь, устанавливает постоянство в системе и загружает «xig.ppt» в память.

«Отсюда расшифрованный “xig.ppt” продолжает процесс выполнения как механизм для расшифровки и внедрения шелл-кода в “svchost.exe”» — отметили исследователи. «Вредоносное ПО создаёт “svchost.exe” как приостановленный процесс, выделяет память в этом процессе и записывает туда шелл-код».

  Пришла подозрительная MMS-ка? Ваш телефон уже взломан

Шелл-код, в свою очередь, содержит необходимую конфигурацию для подключения к C2-серверу и загрузки полезной нагрузки ValleyRAT в виде DLL-файла.

«ValleyRAT использует сложный многоэтапный процесс для заражения системы финальной полезной нагрузкой, выполняющей большинство вредоносных операций», — заявили исследователи. «Этот многоступенчатый подход в сочетании с использованием DLL Sideloading, вероятно, предназначен для лучшего обхода защитных решений, таких как EDR и антивирусные приложения».

Кодовое слово дня — безопасность.

Узнай больше — подпишись на нас!

Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.

Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.

Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.

Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.

Добавить комментарий