De faux sites Google Chrome diffusent le malware ValleyRAT via le détournement de DLL

  • Accueil
  • Non classé
  • De faux sites Google Chrome diffusent le malware ValleyRAT via le détournement de DLL

De faux sites Google Chrome diffusent le malware ValleyRAT via le détournement de DLL

De faux sites Web faisant la publicité de Google Chrome ont été utilisés pour distribuer des programmes d’installation malveillants pour un cheval de Troie d’accès à distance appelé ValleyRAT.

Le malware, détecté pour la première fois en 2023, est attribué à un acteur malveillant suivi sous le nom de Silver Fox, avec des campagnes d’attaques antérieures ciblant principalement les régions sinophones comme Hong Kong, Taïwan et la Chine continentale.

« Cet acteur cible de plus en plus des postes clés au sein des organisations, notamment dans les services financiers, comptables et commerciaux, mettant en évidence une concentration stratégique sur des postes à forte valeur ajoutée avec accès à des données et systèmes sensibles », a déclaré Shmuel Uzan, chercheur chez Morphisec, dans un rapport publié plus tôt cette semaine.

Les premières chaînes d’attaque ont été observées diffusant ValleyRAT aux côtés d’autres familles de logiciels malveillants tels que Purple Fox et Gh0st RAT, ce dernier ayant été largement utilisé par divers groupes de pirates chinois .

Le mois dernier encore, des installateurs contrefaits de logiciels légitimes ont servi de mécanisme de distribution au cheval de Troie au moyen d’un chargeur DLL nommé PNGPlug.

Il convient de noter qu’un système de téléchargement par drive-by ciblant les utilisateurs Windows parlant chinois a déjà été utilisé pour déployer Gh0st RAT à l’aide de packages d’installation malveillants pour le navigateur Web Chrome.

De la même manière, la dernière séquence d’attaque associée à ValleyRAT implique l’utilisation d’un faux site Web Google Chrome pour inciter les cibles à télécharger une archive ZIP contenant un exécutable (« Setup.exe »).

Michael Gorelik, directeur technique de Morphisec, a déclaré à The Hacker News qu’il existe des preuves reliant les deux groupes d’activités et que le site d’installation trompeur de Chrome avait déjà été utilisé pour télécharger la charge utile Gh0st RAT.

« Cette campagne visait spécifiquement les utilisateurs parlant chinois, comme l’indique l’utilisation de leurres Web et d’applications en chinois visant au vol de données et à l’évasion des défenses par les logiciels malveillants », a déclaré Gorelik.

« Les liens vers les faux sites Chrome sont principalement diffusés via des systèmes de téléchargement furtif. Les utilisateurs qui recherchent le navigateur Chrome sont redirigés vers ces sites malveillants, où ils téléchargent par inadvertance le faux programme d’installation. Cette méthode exploite la confiance des utilisateurs dans les téléchargements de logiciels légitimes, les rendant ainsi vulnérables aux infections. »

Le binaire d’installation, lors de l’exécution, vérifie s’il dispose de privilèges d’administrateur, puis procède au téléchargement de quatre charges utiles supplémentaires, dont un exécutable légitime associé à Douyin (« Douyin.exe »), la version chinoise de TikTok, qui est utilisé pour charger une DLL malveillante (« tier0.dll »), qui lance ensuite le malware ValleyRAT.

Un autre fichier DLL (« sscronet.dll ») est également récupéré, qui est responsable de l’arrêt de tout processus en cours d’exécution présent dans une liste d’exclusion.

Compilé en chinois et écrit en C++, ValleyRAT est un cheval de Troie conçu pour surveiller le contenu de l’écran, enregistrer les frappes au clavier et établir une persistance sur l’hôte. Il est également capable d’initier des communications avec un serveur distant pour attendre d’autres instructions lui permettant d’énumérer les processus, ainsi que de télécharger et d’exécuter des DLL et des binaires arbitraires, entre autres.

« Pour l’injection de charge utile, l’attaquant a abusé d’exécutables signés légitimes qui étaient vulnérables au détournement de l’ordre de recherche des DLL », a déclaré Uzan.

Cette évolution intervient alors que Sophos a partagé des détails sur des attaques de phishing qui utilisent des pièces jointes Scalable Vector Graphics ( SVG ) pour échapper à la détection et diffuser un malware enregistreur de frappe basé sur AutoIt comme Nymeria ou diriger les utilisateurs vers des pages de collecte d’informations d’identification.

(L’histoire a été mise à jour après publication pour inclure des informations supplémentaires de Morphisec.)

Source: https://thehackernews.com/

Post Your Comment

Abonnez-vous à notre newsletter

En vous abonnant à notre newsletter, vous serez toujours informé des dernières actualités, offres exclusives et conseils personnalisés, directement dans votre boîte de réception.

Transformez vos ambitions, en Compétences Professionnelles

Facebook-square Linkedin Youtube
Formations
Services
Nous Contacter