توزيع مواقع Google Chrome المزيفة على البرامج الضارة Valleyrat عبر اختطاف DLL
تم استخدام مواقع الويب الزائفة الإعلان عن Google Chrome لتوزيع المثبتات الضارة على طروادة وصول عن بُعد تسمى Valleyrat.
تعزى البرامج الضارة ، التي تم اكتشافها لأول مرة في عام 2023 ، إلى ممثل التهديد الذي تم تتبعه في منصب Silver Fox ، مع حملات الهجوم السابقة تستهدف في المقام الأول مناطق الناطقة بالصينية مثل هونغ كونغ وتايوان والبر الرئيسي للصين.
“لقد استهدف هذا الممثل بشكل متزايد أدوارًا رئيسية داخل المنظمات-خاصة في قسم التمويل والمحاسبة والمبيعات-مع تسليط الضوء على التركيز الاستراتيجي على المواقف ذات القيمة العالية مع الوصول إلى البيانات والأنظمة الحساسة” قال في تقرير نشر في وقت سابق من هذا الأسبوع.
لوحظت سلاسل الهجوم المبكرة وهي تسليم الوهمية إلى جانب عائلات البرامج الضارة الأخرى مثل Purple Fox و GH0st Rat ، والتي تم استخدامها على نطاق واسع من قبل مختلف مجموعات القرصنة الصينية.
في الآونة الأخيرة ، في الشهر الماضي ، كانت المثبتات المزيفة للبرامج المشروعة بمثابة آلية توزيع لأطراويدان عن طريق محمل DLL المسمى PNGPlug.
تجدر الإشارة إلى أنه تم استخدام مخطط تنزيل من قِبل محرك الأقراص الذي يستهدف مستخدمي Windows الناطقين بالصينية لنشر الفئران GH0st باستخدام حزم المثبتات الضارة لمتصفح الويب Chrome.
بطريقة مماثلة ، يستلزم أحدث تسلسل للهجوم المرتبط بـ Valleyrat استخدام موقع ويب Google Chrome المزيف لخداع الأهداف لتنزيل أرشيف مضغوط يحتوي على قابلة للتنفيذ (“setup.exe”).
يتحقق الثنائي ، عند التنفيذ ، إذا كان لديه امتيازات المسؤول ، ثم يتابع تنزيل أربع حمولات إضافية ، بما في ذلك قابلة للتنفيذ شرعية مرتبطة بـ Douyin (“Douyin.exe”) ، النسخة الصينية من Tiktok ، والتي تستخدم لإثارة Dll ( “tier0.dll”) ، والتي تطلق البرامج الضارة للودي.
كما تم استرجاع ملف DLL آخر (“sscronet.dll”) ، وهو مسؤول عن إنهاء أي عملية تشغيل موجودة في قائمة الاستبعاد.
تم تجميع Valleyrat باللغة الصينية والمكتوبة في C ++ ، وهو عبارة عن طروادة مصممة لمراقبة محتوى الشاشة ، وضغط المفاتيح ، وإقامة الثبات على المضيف. كما أنها قادرة على بدء الاتصالات مع خادم بعيد لانتظار المزيد من الإرشادات التي تسمح لها بتعداد العمليات ، وكذلك تنزيل وتنفيذ DLLs التعسفي والثنائيات ، من بين أمور أخرى.
وقال أوزان: “بالنسبة لحقن الحمولة الصافية ، أساء المهاجم أن يتعرض المهاجمون للتنفيذيون الموقّعون الذين كانوا عرضة لاختطاف أمر البحث في DLL”.
ويأتي التطور كعلم Sophos التفاصيل المشتركة من هجمات التصيد التي تستخدم رسومات ناقلات قابلة للتطوير (SVG) المرفقات للتهرب من الكشف وتقديم برنامج ضار لضغط المفاتيح القائم على التلقائي مثل Nymeria أو المستخدمين المباشرين إلى صفحات حصاد بيانات الاعتماد.
إرسال التعليق