Подробный отчет под названием "Fake Google Chrome Sites Distribute ValleyRAT Malware via DLL Hijacking" был опубликован в The Hacker News и впоследствии обновлен, чтобы включить дополнительную аналитику от компании Morphisec. Основное внимание в этом материале уделено деятельности группировки Silver Fox, которая нацеливается на китайскоязычные организации в Гонконге, Тайване и материковом Китае, а также на ключевых сотрудников в отделах финансов, бухгалтерии и продаж для получения доступа к конфиденциальным данным.
Исследователи указывают, что Silver Fox использует поддельные веб-сайты Google Chrome, предлагающие загрузку вредоносного ZIP-архива с файлом "Setup.exe". Пользователи, ошибочно перешедшие по этим ссылкам, подвергаются drive-by-загрузкам, которые приводят к запуску исполняемого файла. Он проверяет наличие прав администратора и выгружает четыре дополнительных полезных компонента, включая Douyin.exe для DLL-подмены и вредоносную библиотеку "tier0.dll".
Основная цель в этой цепочке атак — загрузка ValleyRAT, впервые обнаруженного в 2023 году. Данный инструмент написан на C++ и скомпилирован с использованием китайских ресурсов. Он способен вести скрытый сбор данных через мониторинг экрана, фиксацию нажатий клавиш, постоянную прописку в системе, перечисление процессов и загрузку произвольных файлов. В дополнение к ValleyRAT задействуются и другие вредоносные семействa, такие как Purple Fox, Gh0st RAT и DLL-загрузчик PNGPlug.
При загрузке ValleyRAT задействуется метод DLL Search Order Hijacking. Douyin.exe, являясь легитимным исполняемым файлом и подписанным приложением, подгружает "tier0.dll", а также вторую библиотеку "sscronet.dll", предназначенную для завершения заранее обозначенных процессов. Исследование Morphisec, представленное Шмуэлем Узаном в 2023 году, проливает свет на связь между кампаниями ValleyRAT и Gh0st RAT, ранее распространявшимися аналогичным способом через поддельные установщики Chrome.
CTO Morphisec, Майкл Горелик, добавил, что фиктивные сайты для загрузки Chrome применялись в том числе и для распространения Gh0st RAT. Цель злоумышленников — сбор ценных данных, обход защитных механизмов и получение более глубокого доступа к сетям организаций. Особый акцент делается на использовании доверия к популярному софту, который затрудняет обнаружение атаки на первых этапах.
В более широком контексте эксперты Sophos обнаружили и другие фишинговые схемы, где злоумышленники используют файлы SVG (Scalable Vector Graphics) для обхода механизмов фильтрации и доставки AutoIt-платформенных кейлоггеров, включая Nymeria. Эти же вредоносные вложения перенаправляют пользователей на фальшивые страницы сбора учетных данных, делая атаку максимально незаметной и гибкой.
Использование поддельных сайтов и манипуляция последовательностью загрузки библиотек позволяют злоумышленникам обеспечить стойкое присутствие в системе. Ключевым вектором остается неосторожность пользователей, которые при поиске "Google Chrome" могут ошибочно установить вредоносную версию и открыть доступ к корпоративным сетям.
Изображение носит иллюстративный характер
Исследователи указывают, что Silver Fox использует поддельные веб-сайты Google Chrome, предлагающие загрузку вредоносного ZIP-архива с файлом "Setup.exe". Пользователи, ошибочно перешедшие по этим ссылкам, подвергаются drive-by-загрузкам, которые приводят к запуску исполняемого файла. Он проверяет наличие прав администратора и выгружает четыре дополнительных полезных компонента, включая Douyin.exe для DLL-подмены и вредоносную библиотеку "tier0.dll".
Основная цель в этой цепочке атак — загрузка ValleyRAT, впервые обнаруженного в 2023 году. Данный инструмент написан на C++ и скомпилирован с использованием китайских ресурсов. Он способен вести скрытый сбор данных через мониторинг экрана, фиксацию нажатий клавиш, постоянную прописку в системе, перечисление процессов и загрузку произвольных файлов. В дополнение к ValleyRAT задействуются и другие вредоносные семействa, такие как Purple Fox, Gh0st RAT и DLL-загрузчик PNGPlug.
При загрузке ValleyRAT задействуется метод DLL Search Order Hijacking. Douyin.exe, являясь легитимным исполняемым файлом и подписанным приложением, подгружает "tier0.dll", а также вторую библиотеку "sscronet.dll", предназначенную для завершения заранее обозначенных процессов. Исследование Morphisec, представленное Шмуэлем Узаном в 2023 году, проливает свет на связь между кампаниями ValleyRAT и Gh0st RAT, ранее распространявшимися аналогичным способом через поддельные установщики Chrome.
CTO Morphisec, Майкл Горелик, добавил, что фиктивные сайты для загрузки Chrome применялись в том числе и для распространения Gh0st RAT. Цель злоумышленников — сбор ценных данных, обход защитных механизмов и получение более глубокого доступа к сетям организаций. Особый акцент делается на использовании доверия к популярному софту, который затрудняет обнаружение атаки на первых этапах.
В более широком контексте эксперты Sophos обнаружили и другие фишинговые схемы, где злоумышленники используют файлы SVG (Scalable Vector Graphics) для обхода механизмов фильтрации и доставки AutoIt-платформенных кейлоггеров, включая Nymeria. Эти же вредоносные вложения перенаправляют пользователей на фальшивые страницы сбора учетных данных, делая атаку максимально незаметной и гибкой.
Использование поддельных сайтов и манипуляция последовательностью загрузки библиотек позволяют злоумышленникам обеспечить стойкое присутствие в системе. Ключевым вектором остается неосторожность пользователей, которые при поиске "Google Chrome" могут ошибочно установить вредоносную версию и открыть доступ к корпоративным сетям.
