Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVA CAMPAÑA DISTRIBUYE VARIANTE DE VALLEYRAT

12/09/2024

NUEVA CAMPAÑA DISTRIBUYE VARIANTE DE VALLEYRAT
El equipo del Csirt Financiero ha identificado una nueva campaña en la que se está distribuyendo una versión actualizada de ValleyRAT.

Descripción:

ValleyRAT es un troyano de acceso remoto (RAT) escrito en C++, caracterizado por funcionalidades típicas de un RAT desarrollado por un actor de amenazas localizado en China, fue identificado por primera vez en 2023 con el objetivo principal de infiltrarse y comprometer equipos, proporcionando a los atacantes control total del equipo infectado mediante acceso remoto. Esta nueva variante de ValleyRAT ha introducido nuevos comandos, como realizar capturas de pantalla, filtrar procesos, forzar el apagado, limpiar complementos, obtener la lista de procesos del sistema y borrar los registros de eventos de Windows. Estas capacidades tienen como finalidad realizar fraude o publicar datos en foros clandestinos de la Deep y Dark Web.

ValleyRAT infecta los equipos a través de correos electrónicos tipo phishing o la descarga de aplicaciones maliciosas desde sitios web fraudulentos. Estos correos contienen archivos comprimidos que descargan un loader de etapa inicial, el cual procede a recuperar el archivo "NTUSER.DXM" de un servidor HTTP File Server (HFS). Este archivo se decodifica para extraer una DLL responsable de descargar "client.exe" del mismo servidor. Además, se encarga de detectar y eliminar las soluciones antimalware de Qihoo 360 y WinRAR con el fin de pasar desapercibido.

A continuación, el loader recupera "xig.ppt" y "WINWORD2013.EXE", un ejecutable legítimo asociado con Microsoft Word utilizado para descargar "wwlib.dll", que a su vez establece persistencia en el equipo y carga "xig.ppt" en la memoria. Posteriormente, "xig.ppt" continúa el proceso de ejecución como mecanismo para descifrar e inyectar código shell en "svchost.exe", el cual contiene la configuración necesaria para contactar a un servidor de comando y control (C2) y descargar la carga útil de ValleyRAT en forma de archivo DLL, infectando así el equipo.

 

Vector de infección:

Esta amenaza se puede distribuir a través de diversas técnicas, como correos electrónicos tipo phishing apoyados con ingeniería social y archivos adjuntos maliciosos. Además, se incluye la descarga de software desde sitios web fraudulentos, con el objetivo de engañar a los usuarios para que descarguen y ejecuten la carga útil de ValleyRAT.

 

Recomendaciones:

ValleyRAT puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

  • Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto, los cuales pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior, el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios (los hash md5, sha1 y sha256).
  • Tener especial cuidado con mensajes de correo electrónico u otras comunicaciones que pretenden suplantar entidades, ya que están siendo utilizados para la distribución de troyanos como ValleyRAT.
  • Segmentar la red de la entidad para evitar movimientos laterales y proteger servicios o equipos con información sensible.

 

Leer noticia: https://thehackernews.com/2024/06/china-linked-valleyrat-malware.html