Recentemente, sono stati scoperti siti web falsi che promuovono Google Chrome distribuiscono installatori dannosi per un trojan di accesso remoto noto come ValleyRAT. Questo malware, identificato per la prima volta nel 2023, è attribuito a un attore di minacce tracciato come Silver Fox. Le campagne di attacco precedenti si sono concentrate principalmente su regioni di lingua cinese come Hong Kong, Taiwan e la Cina continentale.

Questo attore ha sempre più preso di mira ruoli chiave all'interno delle organizzazioni, in particolare nei dipartimenti di finanza, contabilità e vendite, evidenziando un focus strategico su posizioni di alto valore con accesso a dati e sistemi sensibili. Come riportato da un ricercatore di Morphisec, questi attacchi sfruttano siti web falsi per indurre gli utenti a scaricare un archivio ZIP contenente un eseguibile ("Setup.exe"), che funge da veicolo per il malware.

Le catene di attacco primarie hanno visto ValleyRAT distribuito insieme ad altre famiglie di malware, come Purple Fox e Gh0st RAT, quest'ultimo utilizzato ampiamente da vari gruppi di hacker cinesi. Recentemente, installatori contraffatti per software legittimi sono stati utilizzati come meccanismo di distribuzione per il trojan tramite un caricatore DLL chiamato PNGPlug.

Vale la pena notare che uno schema di download drive-by, mirato agli utenti di Windows di lingua cinese, è stato precedentemente usato per distribuire Gh0st RAT usando pacchetti di installazione dannosi per il browser web Chrome.

La sequenza di attacco più recente associata a ValleyRAT comporta l'uso di un sito web falso di Google Chrome per ingannare le vittime a scaricare un archivio ZIP contenente un eseguibile. Il CTO di Morphisec ha rivelato che esiste una connessione tra questi cluster di attività, e che il sito dell'installatore di Chrome ingannevole era stato precedentemente utilizzato per scaricare il payload Gh0st RAT.

Questa campagna ha preso di mira specificamente utenti di lingua cinese, come indicato dall'uso di esche web in lingua cinese e applicazioni mirate al furto di dati e all'evasione delle difese da parte del malware. I collegamenti ai siti falsi di Chrome sono distribuiti principalmente tramite schemi di download drive-by. Gli utenti che cercano il browser Chrome vengono reindirizzati a questi siti malevoli, dove scaricano inconsapevolmente l'installatore falso, sfruttando la fiducia degli utenti nei download di software legittimi, rendendoli suscettibili all'infezione.

Il file binario di configurazione, una volta eseguito, verifica se ha privilegi di amministratore e procede a scaricare ulteriori payload, tra cui un eseguibile legittimo associato a Douyin, la versione cinese di TikTok, utilizzato per caricare una DLL dannosa che avvia il malware ValleyRAT. Questo sviluppo si verifica mentre Sophos ha condiviso dettagli su attacchi di phishing che utilizzano allegati SVG per eludere la rilevazione e distribuire malware logger di keystroke basato su AutoIt come Nymeria o per indirizzare gli utenti a pagine di raccolta credenziali.