Недавние отчеты от Hackread подчеркивают тревожную тенденцию среди пользователей Windows в Китае, которые сталкиваются с изощренными многоэтапными вторжениями, включающими вредоносное ПО ValleyRAT. Эта новая волна кибератак начинается с распространения обманчивых документов, которые кажутся связанными с бизнесом или финансами. Как только эти документы запускаются, они активируют стандартное приложение для Word-документов, одновременно создавая мьютекс и изменяя записи в реестре для обеспечения постоянства вредоносного ПО в системе.
Анализ Fortinet
Детальный анализ, проведенный Fortinet’s FortiGuard Labs, показывает, что злоумышленники используют шеллкод для скрытой загрузки вредоносного ПО в память. Этот метод в конечном итоге приводит к развертыванию ValleyRAT, инструмента, который не только отслеживает активность пользователя, но и позволяет распространять произвольные плагины. Среди его возможностей ValleyRAT может выполнять файлы, делать снимки экрана и похищать конфиденциальные данные.
Кроме того, исследователи из FortiGuard Labs выявили, что ValleyRAT способен манипулировать настройками реестра и брать под контроль системные функции. Эти тревожные выводы дополняют предыдущие исследования, которые связывают ValleyRAT с операциями продвинутых постоянных угроз, в частности с группой, известной как Silver Fox. Эта ассоциация вызывает серьезные опасения, особенно учитывая историю ValleyRAT по нацеливанию на такие сектора, как финансы, продажи, электронная коммерция и управленческие организации.
- Обманчивые документы: Начальный этап атаки включает распространение документов, которые кажутся связанными с бизнесом или финансами.
- Шеллкод: Используется для скрытой загрузки вредоносного ПО в память.
- ValleyRAT: Инструмент для отслеживания активности пользователя и распространения плагинов.
- Манипуляция реестром: ValleyRAT способен изменять настройки реестра и контролировать системные функции.
Эти новые угрозы подчеркивают необходимость усиленной кибербезопасности и постоянного мониторинга систем для защиты от подобных атак. Пользователи и организации должны быть особенно внимательны к подозрительным документам и регулярно обновлять свои системы безопасности.