Sitios web falsos que simulan ser de Google Chrome, están siendo utilizados para distribuir el malware ValleyRAT mediante el secuestro de DLL. Estas páginas promueven instaladores maliciosos de un troyano de acceso remoto, que ha sido vinculado al actor de amenazas conocido como Silver Fox. Identificado por primera vez en 2023.
Según el investigador de Morphisec, Shmuel Uzan, este grupo ha enfocado sus esfuerzos en puestos clave dentro de organizaciones, como los departamentos de finanzas, contabilidad y ventas, debido al acceso privilegiado que estos roles tienen a datos y sistemas confidenciales.
Las primeras campañas han distribuido ValleyRAT junto con Purple Fox y Gh0st RAT, este último ampliamente utilizado por cibercriminales chinos. En un incidente reciente, instaladores falsos de software legítimo sirvieron como medio de distribución para este malware a través de un cargador de DLL denominado PNGPlug.
Anteriormente, Gh0st RAT fue desplegado mediante paquetes de instalación de Google Chrome dirigidos a usuarios de Windows. De manera similar, el último ataque con ValleyRAT emplea un sitio falso de Google Chrome para inducir a las víctimas a descargar un archivo ZIP que contiene un ejecutable malicioso («Setup.exe»).
Al ejecutarse, el instalador comprueba si tiene privilegios de administrador y procede a descargar cuatro cargas útiles adicionales, incluyendo «Douyin.exe». este se emplea para cargar una DLL maliciosa («tier0.dll») que activa ValleyRAT. Asimismo, se descarga «sscronet.dll», cuya función es finalizar procesos específicos en el sistema.
Este troyano de acceso remoto cuenta con la capacidad de monitoreo de pantalla, registro de pulsaciones de teclado y persistencia en el sistema. También establece comunicación con un servidor remoto para recibir comandos adicionales, permitiéndole enumerar procesos, descargar y ejecutar archivos maliciosos.
Fuente:
Fake google chrome sites distribute
Ciberprisma - alianza por la ciberseguridad 