PNGPlug Loader levert ValleyRAT-malware via valse software-installatieprogramma’s

Onderzoekers op het gebied van cyberbeveiliging vestigen de aandacht op een reeks cyberaanvallen die zich hebben gericht op Chineessprekende regio’s zoals Hong Kong, Taiwan en het vasteland van China met een bekende malware genaamd ValleyRAT.

De aanvallen maken gebruik van een meertrapslader genaamd PNGPlug om de ValleyRAT-payload te leveren, zei Intezer in een technisch rapport dat vorige week werd gepubliceerd.

De infectieketen begint met een phishing-pagina die is ontworpen om slachtoffers aan te moedigen een kwaadaardig Microsoft Installer-pakket (MSI) te downloaden, vermomd als legitieme software.

Eenmaal uitgevoerd, implementeert het installatieprogramma een goedaardige applicatie om argwaan te voorkomen, terwijl het ook heimelijk een gecodeerd archief extraheert dat de malware-payload bevat.

“Het MSI-pakket maakt gebruik van de CustomAction-functie van Windows Installer, waardoor het kwaadaardige code kan uitvoeren, inclusief het uitvoeren van een ingebedde kwaadaardige DLL die het archief (all.zip) decodeert met behulp van een hardgecodeerd wachtwoord ‘hello202411’ om de belangrijkste malwarecomponenten te extraheren”, aldus beveiligingsonderzoeker zei Nicole Fishbein.

Deze omvatten een frauduleuze DLL (“libcef.dll”), een legitieme applicatie (“down.exe”) die wordt gebruikt als dekmantel om de kwaadaardige activiteiten te verbergen, en twee payload-bestanden die zich voordoen als PNG-afbeeldingen (“aut.png” en ” bekijk.png”).

Het belangrijkste doel van de DLL-lader, PNGPlug, is om de omgeving voor te bereiden op het uitvoeren van de belangrijkste malware door “aut.png” en “view.png” in het geheugen te injecteren om persistentie op te zetten door wijzigingen in het Windows-register aan te brengen en ValleyRAT uit te voeren, respectievelijk.

ValleyRAT, sinds 2023 in het wild gedetecteerd, is een trojan voor externe toegang (RAT) die aanvallers ongeautoriseerde toegang en controle over geïnfecteerde machines kan bieden. Recente versies van de malware hebben functies ingebouwd om schermafbeeldingen te maken en Windows-gebeurtenislogboeken te wissen.

Er wordt aangenomen dat het verband houdt met een dreigingsgroep genaamd Silver Fox, die ook tactische overlappingen deelt met een ander activiteitencluster genaamd Void Arachne vanwege het gebruik van een command-and-control (C&C) raamwerk genaamd Winos 4.0.

De campagne is uniek vanwege de focus op de Chineessprekende doelgroep en het gebruik van softwaregerelateerde lokmiddelen om de aanvalsketen te activeren.

“Net zo opvallend is het geavanceerde gebruik door de aanvallers van legitieme software als aflevermechanisme voor malware, waarbij kwaadaardige activiteiten naadloos worden gecombineerd met ogenschijnlijk goedaardige applicaties”, aldus Fishbein.

“Het aanpassingsvermogen van de PNGPlug-lader vergroot de dreiging nog verder, omdat het modulaire ontwerp het mogelijk maakt om deze op maat te maken voor meerdere campagnes.”

Thijs Van der Does