InforSec News: Các trang web Google Chrome giả mạo phân phối phần mềm độc hại ValleyRAT thông qua DLL hijacking

Top Block Position

Các trang web Google Chrome giả mạo phân phối phần mềm độc hại ValleyRAT thông qua DLL hijacking

Các trang web giả mạo quảng cáo Google Chrome đã được sử dụng để phân phối các trình cài đặt độc hại cho một trojan truy cập từ xa có tên là ValleyRAT.

Phần mềm độc hại, được phát hiện lần đầu tiên vào năm 2023, được cho là do một tác nhân đe dọa được theo dõi là Silver Fox, với các chiến dịch tấn công trước đó chủ yếu nhắm vào các khu vực nói tiếng Trung như Hồng Kông, Đài Loan và Trung Quốc đại lục.

Tác nhân này ngày càng nhắm mục tiêu vào các vai trò quan trọng trong các tổ chức — đặc biệt là bộ phận tài chính, kế toán và bán hàng —tập trung vào các vị trí với quyền truy cập vào dữ liệu và hệ thống nhạy cảm. Các chuỗi tấn công ban đầu đã được quan sát thấy cung cấp ValleyRAT cùng với các họ phần mềm độc hại khác như Purple Fox và Gh0st RAT, sau này đã được sử dụng rộng rãi bởi các nhóm tin tặc Trung Quốc khác nhau.

Vào tháng 01/2025, các trình cài đặt giả mạo cho phần mềm hợp pháp đã đóng vai trò như một cơ chế phân phối cho trojan thông qua DLL loader có tên PNGPlug. Theo cách tương tự, chuỗi tấn công mới nhất liên quan đến ValleyRAT đòi hỏi việc sử dụng một trang web Google Chrome giả mạo để lừa các mục tiêu tải xuống tệp ZIP có chứa tệp thực thi ('Setup.exe').

Chiến dịch này đặc biệt nhắm mục tiêu vào người dùng nói tiếng Trung, được chỉ ra bằng cách sử dụng các ứng dụng và mồi nhử web tiếng Trung nhằm đánh cắp dữ liệu và trốn tránh khả năng phòng thủ của phần mềm độc hại. Được biên dịch bằng tiếng Trung và được viết bằng C++, ValleyRAT là một trojan được thiết kế để theo dõi nội dung màn hình, ghi lại các lần gõ phím và thiết lập tính bền vững trên máy chủ. Nó cũng có khả năng giao tiếp với một máy chủ từ xa để chờ các hướng dẫn tiếp theo cho phép nó liệt kê các tiến trình, cũng như tải xuống và thực thi các DLL và tệp nhị phân tùy ý.

Nguồn: The Hacker News

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

Điện toán đám mây.
Máy tính để bàn ảo VDI.
Lưu trữ dữ liệu Drive.
Quản lý dịch vụ công nghệ thông tin ITSM.
Mạng phân phối nội dung
Giám sát an toàn thông tin mạng.
Bảo vệ an toàn thông tin đầu cuối.
Sao lưu, phục hồi dữ liệu.
Diễn tập phòng chống tấn công mạng.
Kiểm tra, đánh giá an toàn thông tin mạng.
Đào tạo an toàn thông tin.
Dịch vụ khác:
- Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
- Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
Email: sales@hissc.com.vn

Bottom Block Position

Trở lại Khoá học