新型ValleyRAT恶意软件通过伪造Chrome下载传播

Morphisec发现了一种新型ValleyRAT恶意软件变种 ，新型e下该变种采用了先进的意软规避策略、多阶段感染链和新型传播方式，过伪专门针对系统进行攻击 。造C载传

Morphisec威胁实验室的新型e下网络安全研究人员发现，一种新版本的意软复杂ValleyRAT恶意软件通过多种渠道传播，包括钓鱼邮件 、过伪即时通讯平台和受感染的造C载传网站 。ValleyRAT是新型e下一种多阶段恶意软件，与臭名昭著的意软Silver Fox APT组织有关。

根据Morphisec的源码下载过伪调查
，该攻击活动的造C载传关键目标是组织内的高价值个人 ，尤其是新型e下财务、会计和销售部门的意软员工，目的过伪是窃取敏感数据。

感染链（来源：Morphisec）

恶意软件的传播方式

早期的ValleyRAT版本使用伪装成合法软件安装程序的PowerShell脚本
，服务器租用通常通过DLL劫持将有效载荷注入到WPS Office甚至Firefox等程序的签名可执行文件中 。2024年8月，Hackread.com报道了一种使用shellcode直接将恶意软件组件注入内存的ValleyRAT版本 。

相比之下，当前版本使用一个名为“Karlos”的虚假电信公司网站(karlostclub/)来分发恶意软件
，该网站下载一系列文件，包括一个检查管理员权限并下载其他组件（包括DLL文件）的.NET可执行文件 。

“有趣的是，攻击者在旧版本和新版本中重复使用了相同的URL，云计算”研究人员在博客文章中写道 。

伪造Chrome下载作为初始感染途径

研究人员表示，攻击链中的初始感染途径是从anizomcom/下载伪造的Chrome浏览器，诱骗受害者下载并执行恶意软件。sscronet.dll文件故意使用听起来合法的标识符命名 ，以避免引起怀疑，它将代码注入到合法的svchost.exe进程中 ，充当监视器
，终止预定义排除列表中的任何进程，以防止干扰恶意软件的模板下载操作 。

伪造的Chrome浏览器下载（来源：Morphisec）

恶意软件的执行与规避技术

接下来 ，恶意软件利用修改版的抖音（中国版TikTok）可执行文件进行DLL侧加载 ，并使用来自Valve游戏（特别是《Left 4 Dead 2》和《Killing Floor 2》）的合法Tier0.dll文件来执行隐藏在nslookup.exe进程中的代码。该进程从mpclient.dat中检索并解密主要的ValleyRAT有效载荷。

解密后的有效载荷使用Donut shellcode在内存中执行恶意软件 ，绕过传统的基于磁盘的建站模板检测方法 。它还试图禁用AMSI和ETW等安全机制 。

ValleyRAT的功能与检测规避

ValleyRAT是一种基于C++的远程访问木马，具有基本的RAT功能，例如访问WinSta0窗口站以进行屏幕、键盘和鼠标交互，并监视受害者的屏幕。它包含了广泛的反VMware检查 ，以规避虚拟化环境中的检测，香港云服务器并在安装期间使用其代码中初始化的IP地址和端口与其C2服务器建立连接。

“如果恶意软件未检测到其在虚拟机（VM）中运行，它会尝试连接到baidu.com作为其网络通信检查的一部分  ，”研究人员指出。