ValleyRAT: un malware silente nascosto nel sistema pronto ad ingannare i moderni antivirus

Redazione RHC : 28 Agosto 2024 22:22

Di recente, FortiGuard Labs ha scoperto una nuova campagna malware chiamara ValleyRAT rivolta agli utenti di lingua cinese. Storicamente, questo software ha preso di mira le aziende nei settori dell’e-commerce, della finanza, delle vendite e della gestione.

ValleyRAT è un malware a più fasi che utilizza vari metodi per monitorare e controllare le sue vittime, oltre a implementare plug-in aggiuntivi per causare maggiori danni. Una delle caratteristiche principali di questo software è l’uso attivo dello shellcode per eseguire i componenti direttamente in memoria, il che riduce significativamente le tracce della sua presenza nel sistema.

Per camuffare ValleyRAT, utilizza icone di applicazioni legittime, come Microsoft Office, e nomi di file associati a documenti finanziari. Questo lo rende più credibile per gli utenti. Una volta avviato, il programma crea un file vuoto e lo apre nell’applicazione per documenti di Microsoft Office per creare un’apparenza di legittimità.

Supporta RHC acquistando il Corso CTI:

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Una volta installato, ValleyRAT controlla se è in esecuzione su una macchina virtuale e, se rileva segni di virtualizzazione, smette di funzionare. Successivamente, il malware utilizza una tecnica di “modalità di sospensione” per aggirare i sistemi di rilevamento, rendendo difficile l’identificazione da parte dei programmi antivirus. Durante la fase di inizializzazione, ValleyRAT aggiunge un’attività allo scheduler di Windows per garantire che venga eseguita automaticamente ogni volta che l’utente accede.

Sfrutta inoltre le vulnerabilità note nelle applicazioni legittime per ottenere privilegi di amministratore all’insaputa dell’utente. ValleyRAT aggira efficacemente i sistemi antivirus, in particolare quelli cinesi, confermando ancora una volta di prendere di mira tale regione. Il malware uccide i processi del programma antivirus, ne modifica le impostazioni nel registro e adotta misure aggiuntive per rimanere invisibile. Inoltre, ValleyRAT ha la funzionalità per eseguire comandi da remoto e scaricare componenti aggiuntivi dal server di comando e controllo, consentendo agli aggressori di ottenere il pieno controllo sul sistema infetto.

Questo malware è in grado di eseguire vari comandi, come il monitoraggio dell’attività dell’utente e l’installazione di moduli dannosi aggiuntivi, rendendolo particolarmente pericoloso per le vittime. Fortinet continua a monitorare l’attività di ValleyRAT e a fornire aggiornamenti per proteggere i propri clienti da questa minaccia.

Le soluzioni antivirus Fortinet come FortiGate e FortiMail includono già firme per rilevare e bloccare ValleyRAT. Per proteggersi da tali minacce, si consiglia di aggiornare regolarmente il software antivirus e aumentare la consapevolezza degli utenti sulle possibili minacce informatiche.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.