Investigadores de Zscaler ThreatLabz han identificado una versión renovada del malware ValleyRAT que se está propagando a través de una nueva campaña. Según los investigadores Muhammed Irfan V A y Manisha Ramcharan Prajapati, esta última versión incluye nuevos comandos, como la captura de pantallas, el filtrado de procesos, el apagado forzado y la limpieza de los registros de eventos de Windows.
ValleyRAT había sido previamente documentado por QiAnXin y Proofpoint en 2023 en relación con una campaña de phishing dirigida a usuarios de habla china y organizaciones japonesas. Durante esta campaña, se distribuyeron varias familias de malware, entre ellas Purple Fox y una variante del troyano Gh0st RAT conocido como Sainbox RAT (también llamado FatalRAT).
El malware se atribuye a un actor de amenazas con base en China, que se jacta de habilidades para recopilar información sensible y dejar cargas adicionales en los sistemas comprometidos. La secuencia comienza con un descargador que utiliza un Servidor de Archivos HTTP (HFS) para obtener un archivo llamado «NTUSER.DXM«.
Este archivo se decodifica para extraer un archivo DLL, el cual es responsable de descargar «client.exe» del mismo servidor. Además, el DLL descifrado está diseñado para detectar y terminar soluciones antimalware de Qihoo 360 y WinRAR, como estrategia para evadir el análisis. Posteriormente, el descargador procede a recuperar tres archivos más del servidor HFS: «WINWORD2013.EXE,» «wwlib.dll,» y «xig.ppt».
Tras esto, el malware inicia «WINWORD2013.EXE,» un ejecutable legítimo asociado con Microsoft Word, para cargar «wwlib.dll» y establecer persistencia en el sistema, además de cargar «xig.ppt» en la memoria. Luego, el ‘xig.ppt’ descifrado inicia el proceso de ejecución como un mecanismo para descifrar e inyectar shellcode en svchost.exe.
Los investigadores explican que el malware crea svchost.exe como un proceso suspendido, asigna memoria dentro del proceso y escribe el shellcode allí. Este shellcode contiene la configuración necesaria para contactar a un servidor de comando y control (C2) y descargar la carga de ValleyRAT en forma de un archivo DLL.
Según los investigadores, ValleyRAT utiliza un proceso multifase complejo para infectar un sistema con la carga final que ejecuta la mayoría de las operaciones maliciosas. Este enfoque escalonado, combinado con la carga lateral de DLL, probablemente está diseñado para evadir mejor las soluciones de seguridad basadas en el host, como los EDR y las aplicaciones antivirus.
En otro orden de ideas, Fortinet FortiGuard Labs ha descubierto una campaña de phishing dirigida a personas de habla hispana, que está distribuyendo una versión actualizada de un keylogger y ladrón de información llamado Agent Tesla. Esta variante aprovecha archivos de complementos de Microsoft Excel (XLA) que explotan vulnerabilidades de seguridad conocidas (CVE-2017-0199 y CVE-2017-11882) para desencadenar la ejecución de código JavaScript.
Dicho código carga un script de PowerShell que recupera Agent Tesla de un servidor remoto. Esta variante del malware se dedica a recopilar credenciales, contactos de correo electrónico, así como información básica del dispositivo de la víctima. Además, es capaz de recolectar los contactos de correo electrónico si la víctima utiliza Thunderbird como cliente de correo electrónico.
Vía The Hacker News
