Các nhà nghiên cứu an ninh mạng đã phát hiện ra một phiên bản cập nhật của phần mềm độc hại có tên ValleyRAT đang được phân phối như một phần của chiến dịch mới.
ValleyRAT trước đây đã được QiAnXin và Proofpoint ghi nhận vào năm 2023 liên quan đến một chiến dịch lừa đảo nhắm vào người dùng nói tiếng Trung Quốc và các tổ chức Nhật Bản phân phối các họ phần mềm độc hại khác nhau như Purple Fox và một biến thể của trojan RAT Gh0st được gọi là Sainbox RAT (hay còn gọi là FatalRAT).
Phần mềm độc hại đã được đánh giá là công việc của một tác nhân đe dọa có trụ sở tại Trung Quốc, tự hào về khả năng thu thập thông tin nhạy cảm và thả tải trọng bổ sung vào các máy chủ bị xâm nhập.
Điểm bắt đầu là trình tải xuống sử dụng Máy chủ tệp HTTP (HFS) để tìm nạp tệp có tên "NTUSER. DXM" được giải mã để trích xuất tệp DLL chịu trách nhiệm tải xuống "client.exe" từ cùng một máy chủ.
DLL được giải mã cũng được thiết kế để phát hiện và chấm dứt các giải pháp chống phần mềm độc hại từ Qihoo 360 và WinRAR trong nỗ lực trốn tránh phân tích, sau đó trình tải xuống tiến hành truy xuất thêm ba tệp - "WINWORD2013.EXE", "wwlib.dll" và "xig.ppt" - từ máy chủ HFS.
Tiếp theo, phần mềm độc hại khởi chạy "WINWORD2013.EXE", một tệp thực thi hợp pháp được liên kết với Microsoft Word, sử dụng nó để tải "wwlib.dll", từ đó thiết lập sự bền bỉ trên hệ thống và tải "xig.ppt" vào bộ nhớ.
Về phần mình, shellcode chứa cấu hình cần thiết để liên hệ với máy chủ ra lệnh và kiểm soát (C2) và tải xuống tải trọng ValleyRAT dưới dạng tệp DLL.
Sự phát triển này diễn ra khi Fortinet FortiGuard Labs phát hiện ra một chiến dịch lừa đảo nhắm vào những người nói tiếng Tây Ban Nha với phiên bản cập nhật của keylogger và kẻ đánh cắp thông tin có tên Đặc vụ Tesla.
Chuỗi tấn công lợi dụng các tệp đính kèm Microsoft Excel Add-Ins (XLA) khai thác các lỗi bảo mật đã biết (CVE-2017-0199 và CVE-2017-11882) để kích hoạt thực thi mã JavaScript tải tập lệnh PowerShell, được thiết kế để khởi chạy trình tải nhằm truy xuất Đặc vụ Tesla từ máy chủ từ xa.
"Biến thể này thu thập thông tin đăng nhập và danh bạ email từ thiết bị của nạn nhân, phần mềm mà từ đó nó thu thập dữ liệu và thông tin cơ bản của thiết bị nạn nhân", nhà nghiên cứu bảo mật Xiaopeng Zhang cho biết. "Đặc vụ Tesla cũng có thể thu thập danh bạ email của nạn nhân nếu họ sử dụng Thunderbird làm ứng dụng email của họ."