Uma nova variante do malware ValleyRAT está em circulação e pode afetar você. Pesquisadores da Morphisec descobriram que esse malware se espalha por downloads falsos do Chrome e outros métodos enganosos. O foco são pessoas com acesso a informações sensíveis, especialmente nas áreas de finanças, contabilidade e vendas. Este artigo explica como você pode se proteger desse ataque sofisticado e as táticas usadas pelos hackers. Fique atento!
- Nova variante do malware ValleyRAT se espalha via downloads falsos do Chrome.
- Alvos principais são pessoas em finanças, contabilidade e vendas.
- Malware utiliza site falso para baixar arquivos maliciosos.
- Técnicas avançadas para evitar detecção por segurança.
- Organizações devem melhorar a proteção e treinar funcionários para evitar ataques.
Nova Ameaça de Malware: Entenda o Que Está Acontecendo
Você sabia que um novo tipo de malware chamado ValleyRAT está se espalhando rapidamente? Ele está sendo distribuído por downloads falsos e pode causar muitos problemas. Vamos entender melhor essa situação e como você pode se proteger.
O Que É o ValleyRAT?
O ValleyRAT é um trojan que permite que hackers tenham acesso remoto ao seu computador. Criado pelo grupo APT Silver Fox, conhecido por usar técnicas sofisticadas para enganar as pessoas, seu objetivo é roubar informações sensíveis, principalmente de profissionais em áreas críticas, como finanças e vendas.
Como o Malware Se Espalha?
A Morphisec, uma empresa especializada em segurança cibernética, identificou várias formas de distribuição do ValleyRAT:
- E-mails de phishing: Parecem legítimos, mas são armadilhas.
- Plataformas de mensagens instantâneas: Mensagens de amigos ou colegas podem conter links perigosos.
- Sites comprometidos: Alguns sites que parecem seguros estão infectados com malware.
Uma das maneiras mais comuns de espalhar o ValleyRAT é através de um site falso que se apresenta como uma empresa de telecomunicações chinesa chamada “Karlos”. Acessar esse site resulta no download de vários arquivos, incluindo um executável .NET que verifica privilégios de administrador.
O Vetor Inicial de Infecção
A infecção começa quando você baixa um arquivo que se apresenta como uma versão falsa do navegador Chrome, vindo de um site chamado anizomcom/. Ao baixar e executar esse arquivo, você permite que o malware entre no seu sistema.
Um dos arquivos baixados é chamado sscronet.dll, que parece legítimo para não levantar suspeitas. Esse arquivo injeta código em um processo legítimo do Windows, chamado svchost.exe, atuando como um “monitor” que fecha qualquer processo que possa interferir no funcionamento do malware.
Como o Malware Funciona?
O ValleyRAT é inteligente! Ele utiliza um executável modificado do Douyin (similar ao TikTok na China) para carregar DLLs. Além disso, usa um arquivo DLL legítimo do Valve, permitindo que o malware execute códigos escondidos dentro de um processo chamado nslookup.exe.
Esse processo busca e descriptografa o “payload” principal do ValleyRAT a partir de um arquivo chamado mpclient.dat, o que significa que o malware está sempre se escondendo e tentando não ser detectado.
Se você deseja aprender mais sobre Segurança e Investigação, recomendamos conferir o cursos disponiveis da Foco em SEC.
Conclusão
Em resumo, a nova variante do malware ValleyRAT é uma ameaça real e sofisticada que pode atingir você, especialmente se trabalha com informações sensíveis. Ficar atento aos downloads falsos, e-mails de phishing e sites comprometidos é essencial para se proteger. A prevenção é sempre o melhor remédio! Treinar sua equipe e reforçar a segurança na sua organização pode fazer toda a diferença. Não deixe que esse malware pegue você de surpresa! Para mais dicas e informações sobre segurança cibernética, visite nosso blog em Foco em Segurança.