Πλαστές ιστοσελίδες που διαφημίζουν το Google Chrome χρησιμοποιούνται για τη διανομή κακόβουλων εγκαταστάσεων ενός απομακρυσμένου trojan, γνωστού ως ValleyRAT.
Το κακόβουλο λογισμικό, που ανιχνεύθηκε για πρώτη φορά το 2023, αποδίδεται σε έναν απειλητικό παράγοντα γνωστό ως Silver Fox. Προηγούμενες επιθέσεις είχαν στοχεύσει κυρίως κινεζόφωνες περιοχές, όπως το Χονγκ Κονγκ, η Ταϊβάν και η ηπειρωτική Κίνα.
“Ο συγκεκριμένος παράγοντας στρέφεται όλο και περισσότερο σε κρίσιμους ρόλους εντός οργανισμών—ιδιαίτερα στους τομείς των οικονομικών, της λογιστικής και των πωλήσεων—αναδεικνύοντας μια στρατηγική εστίαση σε θέσεις με πρόσβαση σε ευαίσθητα δεδομένα και συστήματα”, αναφέρει ο ερευνητής της Morphisec, Shmuel Uzan, σε έκθεση που δημοσιεύθηκε αυτή την εβδομάδα.
Αρχικές επιθέσεις έχουν παρατηρηθεί να διανέμουν το ValleyRAT μαζί με άλλα κακόβουλα λογισμικά, όπως το Purple Fox και το Gh0st RAT, το τελευταίο εκ των οποίων έχει χρησιμοποιηθεί ευρέως από διάφορες κινεζικές ομάδες hacking.
Μόλις τον προηγούμενο μήνα, ψεύτικοι installers για νόμιμο λογισμικό χρησιμοποιήθηκαν ως μηχανισμός διανομής του trojan μέσω ενός DLL loader με την ονομασία PNGPlug.
Αξίζει να σημειωθεί ότι ένα drive-by download σχήμα, το οποίο στοχεύει κινεζόφωνους χρήστες των Windows, είχε χρησιμοποιηθεί στο παρελθόν για την εγκατάσταση του Gh0st RAT μέσω κακόβουλων πακέτων εγκατάστασης του Chrome.
Αντίστοιχα, η τελευταία ακολουθία επίθεσης που σχετίζεται με το ValleyRAT περιλαμβάνει τη χρήση μιας ψεύτικης ιστοσελίδας του Google Chrome για να εξαπατήσει τα θύματα ώστε να κατεβάσουν ένα αρχείο ZIP, το οποίο περιέχει ένα εκτελέσιμο αρχείο (“Setup.exe”).
Ο CTO της Morphisec, Michael Gorelik, ανέφερε στο The Hacker News ότι υπάρχουν στοιχεία που συνδέουν τις δύο δραστηριότητες, ενώ η ψεύτικη ιστοσελίδα εγκατάστασης του Chrome είχε προηγουμένως χρησιμοποιηθεί για τη λήψη του Gh0st RAT.
“Αυτή η εκστρατεία στοχοποίησε συγκεκριμένα κινεζόφωνους χρήστες, όπως φαίνεται από τη χρήση κινεζικών διαδικτυακών δολωμάτων και εφαρμογών που στοχεύουν στην κλοπή δεδομένων και στην αποφυγή ανίχνευσης από το κακόβουλο λογισμικό”, δήλωσε ο Gorelik.
“Οι σύνδεσμοι προς τις ψεύτικες ιστοσελίδες του Chrome διανέμονται κυρίως μέσω drive-by download μεθόδων. Οι χρήστες που αναζητούν τον περιηγητή Chrome καταλήγουν σε αυτές τις κακόβουλες ιστοσελίδες, όπου κατεβάζουν κατά λάθος τον ψεύτικο εγκαταστάτη. Αυτή η μέθοδος εκμεταλλεύεται την εμπιστοσύνη των χρηστών στις νόμιμες λήψεις λογισμικού, καθιστώντας τους ευάλωτους σε μόλυνση.”
Το εκτελέσιμο αρχείο εγκατάστασης, μόλις εκτελεστεί, ελέγχει αν έχει δικαιώματα διαχειριστή και στη συνέχεια προχωρά στη λήψη τεσσάρων επιπλέον φορτίων, συμπεριλαμβανομένου ενός νόμιμου εκτελέσιμου που σχετίζεται με το Douyin (“Douyin.exe”), την κινεζική έκδοση του TikTok. Αυτό χρησιμοποιείται για να φορτώσει ένα κακόβουλο DLL (“tier0.dll”), το οποίο στη συνέχεια εκτελεί το ValleyRAT.
Επιπλέον, ανακτάται ένα ακόμη DLL αρχείο (“sscronet.dll”), το οποίο έχει σχεδιαστεί για να τερματίζει οποιαδήποτε διαδικασία βρίσκεται σε μια προκαθορισμένη λίστα αποκλεισμού.
Το ValleyRAT, το οποίο είναι γραμμένο σε C++ και έχει μεταγλωττιστεί στα κινεζικά, είναι ένα trojan σχεδιασμένο για την παρακολούθηση του περιεχομένου της οθόνης, την καταγραφή πληκτρολογήσεων και τη διατήρηση παρουσίας στο σύστημα του χρήστη. Επίσης, μπορεί να επικοινωνεί με έναν απομακρυσμένο διακομιστή για να λαμβάνει περαιτέρω εντολές, επιτρέποντας στους επιτιθέμενους να αναλύουν διεργασίες, καθώς και να κατεβάζουν και να εκτελούν αρχεία DLL και άλλα εκτελέσιμα αρχεία.
“Για payload injection, οι επιτιθέμενοι εκμεταλλεύτηκαν νόμιμα υπογεγραμμένα εκτελέσιμα που ήταν ευάλωτα σε DLL search order hijacking”, δήλωσε ο Uzan.
Αυτή η εξέλιξη έρχεται την ώρα που η Sophos δημοσιεύει λεπτομέρειες σχετικά με επιθέσεις phishing, οι οποίες χρησιμοποιούν αρχεία Scalable Vector Graphics (SVG) ως συνημμένα για την αποφυγή ανίχνευσης και τη διανομή κακόβουλου λογισμικού καταγραφής πληκτρολογήσεων, όπως το Nymeria, ή την ανακατεύθυνση χρηστών σε σελίδες υποκλοπής διαπιστευτηρίων.
Πηγή: thehackernews.com
