Los investigadores de ciberseguridad de Morphisec Threat Lab han descubierto una nueva versión del sofisticado malware ValleyRAT distribuido a través de varios canales, incluidos correos electrónicos de phishing, plataformas de mensajería instantánea y sitios web comprometidos.
Según la investigación de Morphisec, compartida con Hackread.com, los objetivos clave de esta campaña son personas de alto valor dentro de las organizaciones, especialmente las de finanzas, contabilidad y ventas, el objetivo es robar datos confidenciales. Según los investigadores, una descarga falsa del navegador Chrome es el vector de infección inicial en la cadena de ataque, engañando a la víctima para que descargue y ejecute el malware.
El archivo sscronet.dll, nombrado deliberadamente con un identificador que suena legítimo para evitar sospechas, inyecta código en el proceso de svchost.exe legítimo, actuando como un monitor, terminando cualquier proceso en una lista de exclusión predefinida para evitar interferencias con el funcionamiento del malware.
EL ATAQUE
Las versiones anteriores de ValleyRAT utilizaban scripts de PowerShell disfrazados de instaladores de software legítimos, que a menudo empleaban el secuestro de DLL para inyectar su carga útil en ejecutables firmados de programas como WPS Office e incluso Firefox. En agosto de 2024, Hackread.com informó sobre una versión de ValleyRAT que utilizaba shellcode para inyectar componentes de malware directamente en la memoria. La versión actual utiliza un sitio web falso de la empresa china de telecomunicaciones «Karlos» para distribuir el malware, que descarga una serie de archivos, incluido un ejecutable .NET que comprueba los privilegios de administrador y descarga componentes adicionales, incluido un archivo DLL.
