Morphisec ha rilasciato un’analisi approfondita su ValleyRAT, un malware sofisticato legato al gruppo di minacce Silver Fox APT con sede in Cina. ValleyRAT, scritto in C++, possiede funzionalità RAT e rappresenta una minaccia significativa per le organizzazioni globali, utilizzando tecniche avanzate per infiltrarsi e compromettere i sistemi target.
Origine e obiettivi di ValleyRAT
Silver Fox APT è noto per le sue operazioni di cyber spionaggio, mirate principalmente a raccogliere informazioni sensibili da enti governativi e organizzazioni private. ValleyRAT, uno degli strumenti principali del gruppo, è progettato per rubare dati e manipolare i sistemi infetti.
Metodi di distribuzione
ValleyRAT notoriamente utilizza diverse modalità per diffondersi:
– E-mail di phishing: Gli attacchi di phishing sono una delle principali tecniche utilizzate da ValleyRAT. Gli utenti ricevono email apparentemente legittime che contengono allegati o link dannosi.
– Siti web maligni: I visitatori di siti web compromessi possono inconsapevolmente scaricare il malware.
– Piattaforme di messaggistica istantanea: ValleyRAT sfrutta anche le piattaforme di messaggistica per diffondersi tra gli utenti.
Catena d’infezione
A differenza delle versioni precedenti che utilizzavano script PowerShell, l’ultima variante viene distribuita tramite un sito Web e un download del browser Chrome falsi. Una volta installato, il malware scarica un eseguibile .NET che assegna privilegi amministrativi e distribuisce componenti aggiuntivi utili per l’installazione (file .dat, .exe e .dll). Il malware infine esegue il payload tramite nslookup.exe, aggirando i metodi di rilevamento tradizionali.
Funzionalità del malware
L’ultima versione di ValleyRAT ha introdotto nuove capacità, rendendolo ancora più pericoloso. Tra queste funzionalità troviamo:
- Furto di dati: Il malware può raccogliere e inviare dati sensibili ai server controllati dagli attaccanti.
- Manipolazione del sistema: ValleyRAT può eseguire comandi remoti per manipolare i sistemi infetti, permettendo agli attaccanti di controllare il computer della vittima.
- Persistenza: Utilizza tecniche avanzate per rimanere nascosto nei sistemi infetti, rendendo difficile la sua rilevazione e rimozione.
Misure di protezione
I ricercatori avvertono che le tecniche di evasione avanzate, inclusi controlli anti-VMware e tattiche di aggiramento della sicurezza, evidenziano la necessità di misure di sicurezza informatica più robuste:
- Utilizzare software di sicurezza aggiornati e soluzioni di endpoint protection per rilevare e bloccare le minacce.
- Implementare sistemi di monitoraggio per rilevare attività sospette e rispondere rapidamente agli incidenti di sicurezza.
- Mantenere aggiornati tutti i sistemi e le applicazioni per correggere le vulnerabilità note che il malware potrebbe sfruttare.
- Formare i dipendenti a riconoscere e segnalare email di phishing e altri comportamenti sospetti.
