Ψεύτικα sites που διαφημίζουν το Google Chrome διανέμουν κακόβουλα προγράμματα εγκατάστασης για ένα trojan απομακρυσμένης πρόσβασης που ονομάζεται ValleyRAT.
Το κακόβουλο λογισμικό, που εντοπίστηκε για πρώτη φορά το 2023, έχει συνδεθεί με μια hacking ομάδα που ονομάζεται Silver Fox. Σε προηγούμενες επιθέσεις, το malware στόχευε κυρίως κινεζόφωνες περιοχές όπως το Χονγκ Κονγκ, η Ταϊβάν και η ηπειρωτική Κίνα.
Οι επιτιθέμενοι στοχεύουν κυρίως σημαντικά στελέχη σε οργανισμούς, ιδιαίτερα στα τμήματα των οικονομικών, λογιστικών και πωλήσεων. Αυτοί οι στόχοι θεωρούνται πολύτιμοι καθώς συνήθως έχουν πρόσβαση σε ευαίσθητα δεδομένα και συστήματα.
Δείτε επίσης: Η καμπάνια AsyncRAT χρησιμοποιεί Python payloads σε επιθέσεις
Συχνά, οι επιθέσεις διανέμουν το ValleyRAT μαζί με άλλα malware, όπως το Purple Fox και το Gh0st RAT.
Μόλις τον περασμένο μήνα, πλαστά προγράμματα εγκατάστασης για νόμιμο λογισμικό χρησιμοποιήθηκαν ως μηχανισμός διανομής για το trojan ValleyRAT μέσω ενός DLL loader που ονομάζεται PNGPlug.
Στις πιο πρόσφατες επιθέσεις που σχετίζονται με το ValleyRAT, χρησιμοποιούνται ψεύτικα sites Google Chrome για να εξαπατήσουν στόχους ώστε να κατεβάσουν ένα αρχείο ZIP που περιέχει ένα εκτελέσιμο αρχείο (“Setup.exe”).
Το binary, κατά την εκτέλεση, ελέγχει εάν ο χρήσης έχει δικαιώματα διαχειριστή και στη συνέχεια προχωρά στη λήψη τεσσάρων επιπλέον payloads, συμπεριλαμβανομένου ενός νόμιμου εκτελέσιμου αρχείου που σχετίζεται με το Douyin (την κινεζική έκδοση του TikTok), που χρησιμοποιείται για τη φόρτωση ενός DLL (“tier0.dll”). Αυτό εκκινεί τελικά το κακόβουλο λογισμικό ValleyRAT.
Δείτε επίσης: NonEuclid Trojan: Νέο προηγμένο RAT malware
Επίσης, ανακτήθηκε ένα άλλο αρχείο DLL (“sscronet.dll”), το οποίο είναι υπεύθυνο για τον τερματισμό οποιασδήποτε εκτελούμενης διαδικασίας που υπάρχει σε μια λίστα εξαιρέσεων.
Το ValleyRAT έχει σχεδιαστεί για να παρακολουθεί το περιεχόμενο της οθόνης, να καταγράφει πληκτρολογήσεις και να δημιουργεί persistence στον κεντρικό υπολογιστή. Επίσης, επιτρέπει επικοινωνίες με έναν απομακρυσμένο διακομιστή για να περιμένει περαιτέρω οδηγίες που του επιτρέπουν να κατεβάζει και να εκτελεί αυθαίρετα DLL και binaries, μεταξύ άλλων.
Προστασία από RAT malware
Ο πρώτος και πιο σημαντικός τρόπος προστασίας από τα RAT malware είναι η εγκατάσταση ενός αξιόπιστου λογισμικού ασφαλείας. Το λογισμικό αυτό θα πρέπει να περιλαμβάνει προστασία από ιούς, spyware, malware και άλλες επιθέσεις, καθώς και τη δυνατότητα ανίχνευσης και απομάκρυνσης RAT.
Επιπλέον, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τα τελευταία γνωστά trojan.
Δείτε επίσης: Επιθέσεις RAT: Τι είναι και πώς μπορείτε να προστατευτείτε
Επίσης, πρέπει να είστε προσεκτικοί με τα email και τα μηνύματα που λαμβάνετε. Πολλά RAT malware διαδίδονται μέσω επιθέσεων phishing, οπότε αποφεύγετε να ανοίγετε συνημμένα ή να κάνετε κλικ σε συνδέσμους από άγνωστες πηγές.
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί, επίσης, να βοηθήσει στην προστασία από τις επιθέσεις RAT (ValleyRAT malware). Επίσης, η χρήση διπλής επαλήθευσης μπορεί να προσθέσει ένα επιπλέον επίπεδο ασφαλείας.
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους τα RAT malware εισβάλλουν στο σύστημά σας και των τρόπων προστασίας από αυτά, μπορεί να σας βοηθήσει να παραμείνετε ασφαλείς.
Πηγή: thehackernews.com
