Bogus Web Siteleri Reklamcılık Google Chrome, Vallereyrat adlı uzaktan erişim için kötü amaçlı yükleyicileri dağıtmak için kullanılmıştır.
İlk olarak 2023’te tespit edilen kötü amaçlı yazılım, Silver Fox olarak izlenen bir tehdit aktörüne atfedilir ve öncelikle Hong Kong, Tayvan ve Anakara Çin gibi Çince konuşan bölgeleri hedefleyen önceki saldırı kampanyaları.
Morphisec araştırmacısı Shmuel Uzan, “Bu aktör, özellikle finans, muhasebe ve satış departmanında kuruluşlar içindeki önemli rolleri hedefledi.” Dedi. hafta.
Erken saldırı zincirleri, Purple Fox ve GH0ST sıçan gibi diğer kötü amaçlı yazılım aileleriyle birlikte Vallevrat’ın çeşitli Çin hack grupları tarafından yaygın olarak kullanıldığı gözlemlenmiştir.
Geçen ay olduğu gibi, meşru yazılım için sahte montajcılar, PNGPlug adlı bir DLL yükleyici aracılığıyla Truva atı için bir dağıtım mekanizması olarak hizmet etti.
Çince konuşan Windows kullanıcılarını hedefleyen bir sürücü by indirme şemasının daha önce Chrome Web tarayıcısı için kötü amaçlı yükleyici paketleri kullanarak GH0ST sıçanını dağıtmak için kullanıldığını belirtmek gerekir.
Benzer bir şekilde, Vallereyrat ile ilişkili en son saldırı dizisi, bir yürütülebilir dosyayı (“setup.exe”) içeren bir fermuar arşivi indirmek için hedefleri kandırmak için sahte bir Google Chrome web sitesinin kullanılmasını gerektirir.
İkili, yürütme üzerine, yönetici ayrıcalıklarına sahip olup olmadığını kontrol eder ve daha sonra Tiktok’un Çince versiyonu olan Douyin (“Douyin.exe”) ile ilişkili meşru bir yürütülebilir ürün de dahil olmak üzere dört ek yük indirmeye devam eder ( “Tier0.dll”), daha sonra Vallerat kötü amaçlı yazılımları başlatır.
Ayrıca, bir hariç tutma listesinde bulunan herhangi bir çalışma işlemini sonlandırmaktan sorumlu olan başka bir DLL dosyası (“sscronet.dll”) alınmıştır.
Çince olarak derlenen ve C ++ ‘da yazılmış Vallereyrat, ekran içeriğini izlemek, tuş vuruşlarını günlüklendirmek ve ana bilgisayarda kalıcılık oluşturmak için tasarlanmış bir Truva atıdır. Ayrıca, süreçleri numaralandırmasına izin veren daha fazla talimatın yanı sıra diğerlerinin yanı sıra keyfi DLL’leri ve ikili dosyaları indirip yürütmesini beklemek için uzak bir sunucu ile iletişim başlatabilir.
Uzan, “Yük enjeksiyonu için saldırgan, DLL arama siparişinin kaçırılmasına karşı savunmasız meşru imzalı yürütülebilir ürünleri istismar etti.” Dedi.
Geliştirme, Sophos’un tespitten kaçınmak ve Nymeria gibi otomatik tabanlı bir tuş vuruşu logger kötü amaçlı yazılım veya doğrudan kullanıcıları kimlik bilgisi hasat sayfalarına sunmak için ölçeklenebilir vektör grafikleri (SVG) ekleri kullanan kimlik avı saldırılarının ayrıntılarını paylaşması ile geliyor.