Ny ValleyRAT-malware spreder sig via falske Chrome-downloads
En ny variant af den berygtede Remote Access Trojan (RAT), ValleyRAT, er blevet opdaget i en avanceret cyberkampagne, hvor brugere narres til at installere falske versioner af Google Chrome. Ifølge cybersikkerhedsfirmaet Morphisec, som stod bag opdagelsen af denne seneste kampagne, er denne variant mere sofistikeret end tidligere versioner og ser ud til at være forbundet med den kinesiske cybertrusselsgruppe Silver Fox.
Introduktion til ValleyRAT
ValleyRAT er en avanceret og flertrinsbaseret malware, der tilskrives Silver Fox APT-gruppen. Denne Remote Access Trojan (RAT) er primært målrettet mod kinesisktalende brugere gennem velkoordinerede phishing-kampagner, der har til formål at overvåge og kontrollere inficerede systemer.
ValleyRAT er udviklet til at installere yderligere ondsindede plugins, hvilket forstærker dens destruktive potentiale og udgør en alvorlig trussel mod organisationer. Dens evne til at forblive skjult skyldes en etapeopdelt indlæsning af komponenter, hvilket gør det vanskeligt at opdage og sikrer, at malwaren kan forblive aktiv og operativ på det kompromitterede system gennem hele angrebsforløbet.
Hvordan spredes ValleyRat-malware?
Hackere benytter phishing-angreb og falske downloadwebsteder til at distribuere ondsindede filer, der udgiver sig for at være legitim software. Disse websider tilbyder en tilsyneladende troværdig, men i virkeligheden farlig version af Google Chrome. Et af de identificerede domæner, der anvendes i kampagnen, er anizom[.]com.
Når en bruger downloader og kører den falske installationsfil, udløses en række ondsindede handlinger:
-
Downloader en ondsindet .NET-eksekverbar fil, der tjekker systemrettigheder og vurderer, om det inficerede system har administrativ adgang.
-
Henter en DLL-fil ved navn sscronet.dll, som injicerer skadelig kode i Windows-systemprocesser, herunder svchost.exe, hvilket sikrer, at malwaren kan køre skjult og vedvarende.
-
Udnytter DLL sideloading via en modificeret version af den kinesiske TikTok-app (Douyin) for at maskere sin tilstedeværelse og omgå antivirusdetektion.
-
Misbruger legitime spilfiler fra ‘Left 4 Dead 2’ og ‘Killing Floor 2’ til at injicere og eksekvere malware gennem nslookup.exe, et almindeligt anvendt Windows-værktøj. Dette gør det endnu sværere for sikkerhedsløsninger at opdage angrebet.
-
Distribuerer den endelige ValleyRAT-payload fra en fil kaldet mpclient.dat, som eksekveres direkte i hukommelsen via Donut-shellcode. Denne metode sikrer, at malwaren forbliver usynlig for traditionelle antivirusprogrammer, da den ikke efterlader spor på disken.
-
Etablerer forbindelse til en ekstern command-and-control (C2) server, hvorfra hackerne kan sende kommandoer, stjæle følsomme data og installere yderligere malware-komponenter.
ValleyRATs anvendelse af velkendte Windows-værktøjer og populære applikationer gør det særligt udfordrende at opdage og neutralisere truslen. Hvis du vil lære mere om malware og hvordan det fungerer, kan du læse vores blogindlæg om malware her.
Hvorfor er ValleyRAT en kritisk trussel som Remote Access Trojan?
ValleyRAT udgør en alvorlig cybertrussel på grund af sin avancerede stealth-kapacitet, modulære arkitektur og evne til at forblive skjult i inficerede systemer i længere tid. Dens installationsproces inkluderer initialisering af command and control (C2) IP-adresser og porte, som er hardcoded i koden.
I modsætning til traditionelle malwares, der ofte er afhængige af diskbaseret eksekvering, anvender ValleyRAT hukommelsesbaserede teknikker for at undgå sikkerhedsforanstaltninger. Dette betyder, at malwaren ikke efterlader spor på harddisken, hvilket gør det yderst vanskeligt for traditionelle antivirus- og detektionssystemer at identificere og eliminere den.
ValleyRATs sofistikerede angrebsmetoder bliver yderligere forstærket af dens evne til at udnytte legitime Windows-processer og tredjepartssoftware i sin infektionskæde. Denne taktik viser, hvordan cyberkriminelle konstant udvikler mere avancerede metoder til at omgå sikkerhedsforanstaltninger. Ved at misbruge uofficielle men troværdige applikationer og systemværktøjer kan ValleyRAT operere ubemærket i længere tid, mens den udfører sine ondsindede aktiviteter i baggrunden.
Dette gør ValleyRAT til en ekstremt farlig Remote Access Trojan, der kan bruges til langvarig overvågning, datatyveri og fjernstyring af inficerede systemer, uden at ofrene er klar over det.
Hvem står bag angrebet
Den nyeste variant af ValleyRAT er blevet kædet sammen med Silver Fox, en kinesisk trusselsaktør med en veldokumenteret historik inden for cyberkriminalitet og cyberspionage. Silver Fox har tidligere været involveret i angreb rettet mod både virksomheder og statslige organisationer, ofte med det formål at stjæle følsomme oplysninger eller udføre strategiske cyberoperationer.
Denne gruppe har tidligere gjort sig bemærket ved at:
-
Bruge Remote Access Trojan (RATs) til at infiltrere netværk og stjæle fortrolige virksomhedsdata og finansielle oplysninger.
-
Gennemføre langvarige cyberspionagekampagner mod kritiske industrier, hvor de overvåger, eksfiltrerer data og opbygger adgang til strategisk vigtige systemer.
-
Udnytte legitime systemværktøjer og tredjepartssoftware til at omgå sikkerhedssystemer og skjule deres aktiviteter, hvilket gør dem vanskelige at opdage.
I lyset af Silver Fox’ tidligere operationer er det sandsynligt, at gruppen anvender ValleyRAT som et redskab til omfattende intelligence-indsamling. De stjålne oplysninger kan enten sælges på det sorte marked eller udnyttes til statssponsorerede cyberaktiviteter, hvilket gør denne trussel særligt alvorlig for både virksomheder og offentlige institutioner.
Hvem er målene for inficerede systemer?
Denne kampagne ser ud til at være målrettet mod specifikke sektorer, hvor kompromittering af systemer kan give hackere adgang til værdifulde økonomiske og forretningsmæssige oplysninger. Blandt de primære mål er:
-
Finansielle institutioner: Hackere sigter mod banker og finansielle virksomheder for at få adgang til bankoplysninger, transaktionsdata og økonomiske konti, hvilket kan føre til svindel eller økonomisk spionage.
-
Regnskabs- og revisionsfirmaer: Disse virksomheder håndterer fortrolige finansielle optegnelser, skatteoplysninger og interne dokumenter, som kan bruges til svindel, afpresning eller insiderhandel.
-
Salgs- og marketingafdelinger i virksomheder: Hackerne kan forsøge at stjæle store mængder kunde- og forretningsdata, som kan udnyttes til identitetstyveri, målrettede phishing-angreb eller videresalg på det sorte marked.
Hovedformålet med disse angreb er at eksfiltrere forretningskritiske data, loginoplysninger og fortrolige virksomhedsoplysninger. De stjålne data kan bruges til en række cyberkriminelle aktiviteter, herunder finansiel svindel, ransomware-angreb eller insiderhandel.
For mere information om hvordan ransomware fungerer, og hvordan du kan beskytte dig mod det, kan du læse vores blogindlæg om ransomware her.
Sådan beskytter du dig mod ValleyRAT's ondsindede kode
For at minimere risikoen for infektion med ValleyRAT bør både virksomheder og enkeltpersoner følge disse kritiske sikkerhedsforanstaltninger:
-
Undgå at downloade software fra ukendte kilder: Verificér altid download-URL'er, og sørg for kun at hente software fra officielle og pålidelige kilder. Ondsindede websteder kan sprede falske softwarepakker, der installerer malware i stedet for legitime programmer.
-
Hold din software opdateret: Sørg for, at operativsystemer, browsere og sikkerhedsværktøjer modtager de nyeste opdateringer og sikkerhedsrettelser. Mange malwareangreb udnytter kendte sårbarheder i forældet software.
-
Implementer løsninger til beskyttelse af slutpunkter: Brug adfærdsbaserede detektionsværktøjer, der kan identificere hukommelsesbaserede malwareangreb. ValleyRAT manipulerer ofte Process Environment Block (PEB) for at ændre procesparametre og eksekvere ondsindet kode, hvilket gør traditionel signaturbaseret antivirus ineffektivt.
-
Uddan medarbejdere i cybersikkerhedsbevidsthed: Afhold regelmæssige træningssessioner for at gøre personale opmærksomme på phishing-angreb, falske downloads og social engineering-taktikker. En opmærksom medarbejder kan ofte være den første forsvarslinje mod cyberangreb.
-
Overvåg netværkstrafik for uregelmæssigheder: Opsæt Intrusion Detection Systems (IDS) til at identificere mistænkelig aktivitet og ubehørig kommunikation med eksterne servere, hvilket kan være tegn på en aktiv infektion.
-
Brug applikationshvidlistning: Begræns udførelsen af ikke-godkendte programmer for at forhindre malware i at blive eksekveret. Hvidlistning sikrer, at kun verificeret software kan køre på systemet.
-
Implementer en robust plan for reaktion på hændelser: Hav en struktureret beredskabsplan, der beskriver, hvordan malwareinfektioner skal håndteres, hvordan systemer kan inddæmmes, og hvordan sikkerhedsbrud effektivt kan afhjælpes.
Ved at følge disse sikkerhedsforanstaltninger kan organisationer og enkeltpersoner forhindre infektion, reducere skadesomfanget og sikre, at deres systemer forbliver beskyttede mod trusler som ValleyRAT.
Konklusion
ValleyRAT er et tydeligt eksempel på den stigende sofistikering af moderne cybertrusler. Denne nye variant bygger ikke blot videre på tidligere funktionaliteter, men integrerer også avancerede undvigelsesteknikker, der gør detektion og afhjælpning yderst vanskelig. Organisationer bør forblive årvågne og implementere stærke cybersikkerhedspolitikker samt proaktive forsvarsstrategier for at modstå denne type avancerede trusler.
Moxso kan hjælpe med at styrke dit teams cybersikkerhedsbevidsthed med awareness-træning designet til at forebygge cyberangreb og minimere risikoen for menneskelige fejl.
Morphisecs opdagelse af ValleyRAT understreger behovet for adfærdsbaseret trusselsdetektering, hukommelsesbaseret analyse og kontinuerlig overvågning i moderne cybersikkerhed. Uden disse avancerede sikkerhedslag forbliver organisationer sårbare over for langvarige cyberspionage- og datatyverikampagner, som kan have alvorlige økonomiske og omdømmemæssige konsekvenser.
Med sin højt målrettede angrebsmetode og avancerede stealth-taktikker illustrerer ValleyRAT, at cyberkriminelle konstant udvikler nye metoder til at omgå forsvarssystemer. Den bedste måde at beskytte sig mod disse trusler er at holde sig informeret, uddanne medarbejdere og indtage en proaktiv sikkerhedsstrategi.

Sarah Krarup
Sarah studerer innovation og entrepreneurship og har en dyb interesse for IT og hvordan cybersikkerhed påvirker virksomheder og private. Hun har stor erfaring med copywriting og en passion for at formidle viden om cybersikkerhed på en engagerende måde.
Se alle indlæg af Sarah Krarup