Investigadores en ciberseguridad han identificado una versión mejorada del malware conocido como ValleyRAT, el cual se está propagando a través de una nueva campaña maliciosa.
«En esta última actualización, ValleyRAT ha añadido nuevos comandos, incluyendo la captura de pantallas, el filtrado de procesos, el apagado forzado y la eliminación de registros de eventos de Windows», explicaron Muhammed Irfan V A y Manisha Ramcharan Prajapati, investigadores de Zscaler ThreatLabz.
ValleyRAT había sido previamente analizado por QiAnXin y Proofpoint en 2023, en relación con una campaña de phishing dirigida a usuarios de habla china y a organizaciones japonesas. Esta campaña distribuía diversas familias de malware como Purple Fox y una variante del troyano Gh0st RAT conocida como Sainbox RAT (o FatalRAT).
Se cree que este malware es obra de un grupo de amenazas con base en China, con capacidades avanzadas para recopilar información sensible e introducir cargas adicionales en los sistemas comprometidos.
El proceso de infección comienza con un descargador que utiliza un servidor de archivos HTTP (HFS) para obtener un archivo llamado «NTUSER.DXM». Este archivo se decodifica para extraer una DLL encargada de descargar «client.exe» del mismo servidor.
Esta DLL descifrada también está diseñada para detectar y desactivar soluciones antimalware de Qihoo 360 y WinRAR, lo que le permite evadir el análisis. Posteriormente, el descargador recupera tres archivos adicionales – «WINWORD2013.EXE», «wwlib.dll» y «xig.ppt» – del servidor HFS.
El malware luego ejecuta «WINWORD2013.EXE», un ejecutable legítimo asociado con Microsoft Word, para cargar «wwlib.dll», lo que establece persistencia en el sistema y carga «xig.ppt» en la memoria.
«A partir de este punto, el ‘xig.ppt’ descifrado continúa el proceso de ejecución al descifrar e inyectar código en svchost.exe», señalaron los investigadores. «El malware crea svchost.exe como un proceso suspendido, asigna memoria dentro del proceso y escribe el código allí.»
El código inyectado incluye la configuración necesaria para contactar a un servidor de comando y control (C2) y descargar la carga útil de ValleyRAT en forma de una DLL.
«ValleyRAT utiliza un proceso en varias etapas para infectar un sistema con la carga final, la cual realiza la mayoría de las operaciones maliciosas», explicaron los investigadores. «Este enfoque por etapas, combinado con la carga lateral de DLLs, está diseñado para evadir mejor las soluciones de seguridad basadas en el host, como EDR y aplicaciones antivirus.»
En otro desarrollo, Fortinet FortiGuard Labs ha identificado una campaña de phishing dirigida a personas de habla hispana, utilizando una versión actualizada de un keylogger y ladrón de información conocido como Agent Tesla.
Esta cadena de ataque explota archivos adjuntos de complementos de Microsoft Excel (XLA) que aprovechan vulnerabilidades conocidas (CVE-2017-0199 y CVE-2017-11882) para ejecutar código JavaScript, el cual carga un script de PowerShell diseñado para descargar Agent Tesla desde un servidor remoto.
«Esta variante recopila credenciales y contactos de correo electrónico del dispositivo de la víctima, el software del cual recolecta los datos y la información básica del dispositivo de la víctima», explicó el investigador de seguridad Xiaopeng Zhang. «Agent Tesla también puede recolectar los contactos de correo electrónico de la víctima si usan Thunderbird como su cliente de correo.»
Para protegerse de estas amenazas, es crucial mantenerse actualizado con las últimas definiciones de seguridad y evitar abrir archivos adjuntos de fuentes desconocidas. Utiliza un antivirus que tenga diferentes capas de protección como Bitdefender.