16 de agosto de 2024Ravie LakshmananAtaque cibernético / Malware Los usuarios de habla china son el objetivo de una campaña en curso que distribuye malware conocido como ValleyRAT. «ValleyRAT es un malware de múltiples etapas que utiliza diversas técnicas para monitorear y controlar a sus víctimas e implementar complementos arbitrarios para causar más daños», dijeron los investigadores de Fortinet FortiGuard Labs Eduardo Altares y Joie Salvio. «Otra característica notable de este malware es su uso intensivo de shellcode para ejecutar sus muchos componentes directamente en la memoria, lo que reduce significativamente su huella de archivo en el sistema de la víctima». Los detalles sobre la campaña surgieron por primera vez en junio de 2024, cuando Zscaler ThreatLabz detalló los ataques que involucraban una versión actualizada del malware. Actualmente se desconoce exactamente cómo se distribuye la última versión de ValleyRAT, aunque las campañas anteriores han aprovechado los mensajes de correo electrónico que contienen URL que apuntan a ejecutables comprimidos. La secuencia de ataque es un proceso de varias etapas que comienza con un cargador de primera etapa que se hace pasar por aplicaciones legítimas como Microsoft Office para que parezcan inofensivas (por ejemplo, «工商年报大师.exe» o «补单对接更新记录txt.exe»). Al ejecutar el ejecutable, se descarta el documento señuelo y se carga el shellcode para avanzar a la siguiente fase del ataque. El cargador también toma medidas para validar que no se esté ejecutando en una máquina virtual. El shellcode es responsable de iniciar un módulo de balizamiento que se comunica con un servidor de comando y control (C2) para descargar dos componentes (RuntimeBroker y RemoteShellcode), además de configurar la persistencia en el host y obtener privilegios de administrador explotando un binario legítimo llamado fodhelper.exe y lograr una omisión del UAC. El segundo método utilizado para la escalada de privilegios se refiere al abuso de la interfaz COM CMSTPLUA, una técnica adoptada previamente por actores de amenazas conectados al ransomware Avaddon y también observada en campañas recientes de Hijack Loader. En un intento adicional por asegurarse de que el malware se ejecute sin impedimentos en la máquina, configura reglas de exclusión para Microsoft Defender Antivirus y procede a finalizar varios procesos relacionados con el antivirus en función de los nombres de archivo ejecutables coincidentes. La tarea principal de RuntimeBroker es recuperar del servidor C2 un componente llamado Loader, que funciona de la misma manera que el cargador de primera etapa y ejecuta el módulo de balizamiento para repetir el proceso de infección. La carga útil Loader también exhibe algunas características distintivas, incluida la realización de comprobaciones para ver si se está ejecutando en un sandbox y escanear el Registro de Windows en busca de claves relacionadas con aplicaciones como Tencent WeChat y Alibaba DingTalk, lo que refuerza la hipótesis de que el malware se dirige exclusivamente a los sistemas chinos. Por otro lado, RemoteShellcode está configurado para obtener el descargador ValleyRAT del servidor C2, que, posteriormente, utiliza sockets UDP o TCP para conectarse al servidor y recibir la carga útil final. ValleyRAT, atribuido a un grupo de amenazas llamado Silver Fox, es un backdoor con todas las funciones capaz de controlar de forma remota las estaciones de trabajo comprometidas. Puede tomar capturas de pantalla, ejecutar archivos y cargar complementos adicionales en el sistema de la víctima. «Este malware involucra varios componentes cargados en diferentes etapas y principalmente utiliza shellcode para ejecutarlos directamente en la memoria, lo que reduce significativamente su rastro de archivos en el sistema», dijeron los investigadores. «Una vez que el malware se afianza en el sistema, admite comandos capaces de monitorear las actividades de la víctima y entregar complementos arbitrarios para promover las intenciones de los actores de la amenaza». El desarrollo se produce en medio de campañas de malspam en curso que intentan explotar una antigua vulnerabilidad de Microsoft Office (CVE-2017-0199) para ejecutar código malicioso y entregar GuLoader, Remcos RAT y Sankeloader. «CVE-2017-0199 sigue teniendo como objetivo permitir la ejecución de código remoto desde un archivo XLS», afirmó Symantec, propiedad de Broadcom. «Las campañas entregaban un archivo XLS malicioso con un enlace desde el que se ejecutaba un archivo HTA o RTF remoto para descargar la carga útil final». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.