Ερευνητές ασφαλείας της Intezer προειδοποιούν για νέες κυβερνοεπιθέσεις που έχουν στοχεύσει κινεζόφωνες περιοχές, όπως το Χονγκ Κονγκ, την Ταϊβάν και την ηπειρωτική Κίνα, με ένα malware που ονομάζεται ValleyRAT (μέσω του multi-stage loader PNGPlug).
Οι επιθέσεις ξεκινούν με μια σελίδα phishing που ενθαρρύνει τα θύματα να κατεβάσουν ένα κακόβουλο Microsoft Installer (MSI) package, που είναι μεταμφιεσμένο ως νόμιμο λογισμικό.
Μόλις εκτελεστεί, το πρόγραμμα εγκατάστασης αναπτύσσει μια καλοήθη εφαρμογή, ενώ ταυτόχρονα εξάγει κρυφά ένα κρυπτογραφημένο αρχείο που περιέχει το malware.
Δείτε επίσης: Η ομάδα Bitter στοχεύει τον αμυντικό τομέα με τα WmRAT και MiyaRAT malware
“Το MSI package χρησιμοποιεί τη δυνατότητα CustomAction του Windows Installer, κι έτσι εκτελεί κακόβουλο κώδικα, συμπεριλαμβανομένου ενός ενσωματωμένου κακόβουλου DLL που αποκρυπτογραφεί το αρχείο (all.zip) χρησιμοποιώντας ένα hardcoded password “hello202411” για την εξαγωγή των βασικών malware components“, δήλωσε η ερευνήτρια ασφαλείας Nicole Fishbein.
Τα malware components περιλαμβάνουν ένα αρχείο DLL (“libcef.dll”), μια νόμιμη εφαρμογή (“down.exe”), που αποκρύπτει τις κακόβουλες δραστηριότητες και δύο payload files που παρουσιάζονται ως εικόνες PNG (“aut.png” και ” view.png”).
Ο κύριος στόχος του DLL loader, PNGPlug, είναι να προετοιμάσει το περιβάλλον για την εκτέλεση του κύριου malware, του ValleyRAT, εισάγοντας τα “aut.png” και “view.png” στη μνήμη.
Δείτε επίσης: Το HiatusRAT στοχεύει κάμερες web και DVR
Το ValleyRAT είναι ένα trojan απομακρυσμένης πρόσβασης (RAT) που παρέχει μη εξουσιοδοτημένη πρόσβαση και έλεγχο σε μολυσμένα μηχανήματα. Οι πρόσφατες εκδόσεις του έχουν λειτουργίες για λήψη στιγμιότυπων οθόνης και εκκαθάριση των αρχείων καταγραφής συμβάντων των Windows.
Εκτιμάται ότι το ValleyRAT malware συνδέεται με μια ομάδα απειλών που ονομάζεται Silver Fox.
Προστασία από RAT malware
Ο πρώτος και πιο σημαντικός τρόπος προστασίας από τα RAT malware είναι η εγκατάσταση ενός αξιόπιστου λογισμικού ασφαλείας. Το λογισμικό αυτό θα πρέπει να περιλαμβάνει προστασία από ιούς, spyware, malware και άλλες επιθέσεις, καθώς και τη δυνατότητα ανίχνευσης και απομάκρυνσης RAT.
Επιπλέον, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τα τελευταία γνωστά trojan.
Δείτε επίσης: Επιθέσεις RAT: Τι είναι και πώς μπορείτε να προστατευτείτε
Επίσης, πρέπει να είστε προσεκτικοί με τα email και τα μηνύματα που λαμβάνετε. Πολλά RAT malware (ValleyRAT malware) διαδίδονται μέσω επιθέσεων phishing, οπότε αποφεύγετε να ανοίγετε συνημμένα ή να κάνετε κλικ σε συνδέσμους από άγνωστες πηγές.
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί, επίσης, να βοηθήσει στην προστασία από τις επιθέσεις RAT. Επίσης, η χρήση διπλής επαλήθευσης μπορεί να προσθέσει ένα επιπλέον επίπεδο ασφαλείας.
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους τα RAT malware εισβάλλουν στο σύστημά σας και των τρόπων προστασίας από αυτά, μπορεί να σας βοηθήσει να παραμείνετε ασφαλείς.
Πηγή: thehackernews.com
.){kind=link}