Una nueva y sofisticada campaña de ValleyRAT ha estado apuntando a los sistemas chinos. Descubierta por FortiGuard Labs, la campaña afecta a los usuarios de Windows, lo que permite a los actores de la amenaza controlar las máquinas comprometidas. El malware ValleyRAT y sus objetivos ValleyRAT se ha dirigido principalmente a empresas de comercio electrónico, finanzas, ventas y gestión. El malware utiliza múltiples etapas y técnicas para monitorear y controlar a sus víctimas, empleando complementos arbitrarios y específicos para causar daños adicionales. La campaña observada por FortiGuard utiliza un shellcode pesado para ejecutar sus componentes directamente en la memoria, lo que reduce significativamente su huella en el sistema de la víctima. ValleyRAT emplea tácticas como el uso de íconos de aplicaciones legítimas, incluido Microsoft Office, para hacer que los archivos maliciosos parezcan inofensivos. Los nombres de archivo también se crean para que parezcan documentos financieros. Una vez ejecutado, ValleyRAT crea un mutex llamado TEST para garantizar que se ejecute una sola instancia. Luego altera entradas de registro específicas para almacenar la IP y el puerto de su servidor de comando y control (C2), lo que le permite comunicarse con los servidores del atacante. El malware intenta además evadir la detección determinando si está operando dentro de una máquina virtual (VM), y si es así, termina sus procesos. Técnicas avanzadas para evasión y ejecución ValleyRAT emplea técnicas de ofuscación de suspensión, que implican modificar los permisos de la memoria asignada donde reside el código malicioso para evitar la detección por parte de los escáneres de memoria. También utiliza una operación XOR para codificar el shellcode, agregando una capa más de complejidad que desafía aún más las firmas de seguridad basadas en patrones. Además, el malware se basa en la carga reflexiva de DLL para ejecutar sus componentes directamente desde la memoria. Después de la inicialización, el malware descifra el shellcode utilizando el algoritmo AES-256 y luego ejecuta este código a través de una rutina de ofuscación de suspensión. ValleyRAT también utiliza hash API para ofuscar los nombres de API que emplea, complicando el proceso de detección. Lea más sobre APT que utilizan hash de API: Lazarus Backdoor DTrack evoluciona para apuntar a Europa y América Latina Posible conexión con Silver Fox Las técnicas avanzadas de evasión de ValleyRAT y los ataques dirigidos a sistemas chinos indican un enfoque estratégico por parte de los actores de amenazas, potencialmente vinculados a grupos de amenazas persistentes avanzadas (APT) como «Silver Fox». Las capacidades del malware para monitorear las actividades de los usuarios y entregar complementos maliciosos adicionales subrayan su importante amenaza para la seguridad empresarial. «Este malware involucra varios componentes cargados en diferentes etapas y principalmente utiliza shellcode para ejecutarlos directamente en la memoria, lo que reduce significativamente su rastro de archivo en el sistema», dijo FortiGuard. «Una vez que el malware gana un punto de apoyo en el sistema, admite comandos capaces de monitorear las actividades de la víctima y entregar complementos arbitrarios para promover las intenciones de los actores de amenazas». Para abordar amenazas como esta, las organizaciones deben mantener actualizadas las firmas del antivirus y del sistema de prevención de intrusiones (IPS) y asegurarse de que sus empleados reciban capacitación sobre concientización sobre seguridad.