Cybersecurity-onderzoekers hebben een bijgewerkte versie van malware ontdekt, genaamd ValleiRAT dat wordt verspreid als onderdeel van een nieuwe campagne.
“In de nieuwste versie introduceerde ValleyRAT nieuwe opdrachten, zoals het maken van schermafbeeldingen, procesfiltering, gedwongen afsluiten en het wissen van Windows-gebeurtenislogboeken”, aldus Zscaler ThreatLabz-onderzoekers Muhammed Irfan VA en Manisha Ramcharan Prajapati.
ValleyRAT werd eerder gedocumenteerd door QiAnXin en Proofpoint in 2023 in verband met een phishing-campagne gericht op Chineessprekende gebruikers en Japanse organisaties die verschillende malwarefamilies verspreidden, zoals Purple Fox en een variant van de Gh0st RAT-trojan, bekend als Sainbox RAT (ook bekend als FatalRAT).
Er is vastgesteld dat de malware het werk is van een in China gevestigde bedreigingsacteur, die beschikt over de mogelijkheden om gevoelige informatie te verzamelen en extra ladingen op gecompromitteerde hosts te plaatsen.
Het startpunt is een downloader die een HTTP File Server (HFS) gebruikt om een bestand met de naam “NTUSER.DXM” op te halen dat wordt gedecodeerd om een DLL-bestand te extraheren dat verantwoordelijk is voor het downloaden van “client.exe” van dezelfde server.
De gedecodeerde DLL is ook ontworpen om anti-malwareoplossingen van Qihoo 360 en WinRAR te detecteren en te beëindigen in een poging analyse te omzeilen, waarna de downloader verder gaat met het ophalen van nog drie bestanden: “WINWORD2013.EXE”, “wwlib.dll” en “xig.ppt” – van de HFS-server.
Vervolgens lanceert de malware “WINWORD2013.EXE”, een legitiem uitvoerbaar bestand dat is gekoppeld aan Microsoft Word, en gebruikt het om “wwlib.dll” te sideloaden, wat op zijn beurt persistentie op het systeem tot stand brengt en “xig.ppt” in het geheugen laadt.
“Vanaf hier zet het gedecodeerde 'xig.ppt' het uitvoeringsproces voort als een mechanisme om shellcode te decoderen en in svchost.exe te injecteren”, aldus de onderzoekers. “De malware creëert svchost.exe als een opgeschort proces, wijst geheugen toe binnen het proces en schrijft daar shellcode.”
De shellcode bevat op zijn beurt de noodzakelijke configuratie om contact te maken met een command-and-control (C2) server en de ValleyRAT-payload te downloaden in de vorm van een DLL-bestand.
“ValleyRAT maakt gebruik van een ingewikkeld, uit meerdere fasen bestaand proces om een systeem te infecteren met de uiteindelijke lading die het merendeel van de kwaadaardige operaties uitvoert”, aldus de onderzoekers. “Deze gefaseerde aanpak, gecombineerd met DLL side-loading, is waarschijnlijk ontworpen om hostgebaseerde beveiligingsoplossingen zoals EDR's en antivirustoepassingen beter te omzeilen.”
De ontwikkeling komt op het moment dat Fortinet FortiGuard Labs een phishing-campagne ontdekte die zich richt op Spaanssprekende mensen met een bijgewerkte versie van een keylogger en informatie-dief genaamd Agent Tesla.
De aanvalsketen maakt gebruik van Microsoft Excel Add-Ins (XLA) bestandsbijlagen die misbruik maken van bekende beveiligingsfouten (CVE-2017-0199 en CVE-2017-11882) om de uitvoering van JavaScript-code te activeren die een PowerShell-script laadt, dat is ontwikkeld om een lader te starten om Agent Tesla van een externe server op te halen.
“Deze variant verzamelt inloggegevens en e-mailcontacten van het apparaat van het slachtoffer, de software waarmee de gegevens worden verzameld, en de basisinformatie van het apparaat van het slachtoffer”, aldus beveiligingsonderzoeker Xiaopeng Zhang. “Agent Tesla kan ook de e-mailcontacten van het slachtoffer verzamelen als hij Thunderbird als e-mailclient gebruikt.”