廣告宣傳 Google Chrome 的虛假網站已被用來分發名為 ValleyRAT 的遠端存取木馬的惡意安裝程式。

該惡意軟體於 2023 年首次被發現，其幕後黑手是名為 Silver Fox 的威脅行為者，而先前的攻擊活動主要針對香港、台灣和中國大陸等中文地區。

Morphisec 研究員 Shmuel Uzan在本週早些時候發布的一份報告中表示：“該攻擊者越來越多地將目標鎖定在組織內的關鍵職位上，尤其是財務、會計和銷售部門，並強調其對能夠訪問敏感數據和系統的高價值職位的戰略重點。”

早期的攻擊鏈已觀察到 ValleyRAT 與其他​​惡意軟體家族（如 Purple Fox 和 Gh0st RAT）一起傳播，後者已被各種中國駭客組織廣泛 使用。

就在上個月，合法軟體的假冒安裝程式已透過名為 PNGPlug 的 DLL 載入程式充當了該木馬的分發機制。

值得注意的是，針對中文 Windows 用戶的驅動下載方案以前曾被用於使用 Chrome 網路瀏覽器的惡意安裝程式包部署 Gh0st RAT。

類似地，與 ValleyRAT 相關的最新攻擊序列需要使用虛假的 Google Chrome 網站誘騙目標下載包含可執行檔（「Setup.exe」）的 ZIP 檔案。

Morphisec 技術長 Michael Gorelik 向 The Hacker News 表示，有證據表明這兩個活動叢集之間存在聯繫，並且欺騙性的 Chrome 安裝程式網站之前曾被用來下載 Gh0st RAT 負載。

戈雷利克說：“這次活動專門針對中文用戶，透過使用中文網路誘餌和應用程式來竊取資料並逃避惡意軟體的防禦，可以看出這一點。”

虛假 Chrome 網站的連結主要透過路過式下載方案傳播。搜尋 Chrome 瀏覽器的使用者會被引導至這些惡意網站，並在無意中下載虛假安裝程式。這種方法利用了用戶對合法軟體下載的信任，使其容易受到感染。

安裝二進位檔案在執行時會檢查是否具有管理員權限，然後繼續下載四個額外的有效載荷，包括與抖音（“Douyin.exe”）（TikTok 的中文版）相關的合法可執行文件，該文件用於側載惡意 DLL（“tier0.dll”），然後啟動 ValleyRAT 惡意軟體。

還檢索了另一個 DLL 檔案（“sscronet.dll”），該檔案負責終止排除清單中存在的任何正在運行的進程。

ValleyRAT 是用中文編譯並用 C++ 編寫的木馬，旨在監視螢幕內容、記錄擊鍵並在主機上建立持久性。它還能夠啟動與遠端伺服器的通信，等待進一步的指令，允許它列舉進程，以及下載和執行任意 DLL 和二進位檔案等。

Uzan 表示：“為了注入有效載荷，攻擊者濫用了容易受到 DLL 搜尋順序劫持的合法簽章可執行檔。”

先前，Sophos分享了網路釣魚攻擊的細節，這些攻擊利用可縮放向量圖形 ( SVG ) 附件來逃避偵測，並傳遞基於 AutoIt 的擊鍵記錄器惡意軟體（如 Nymeria）或將使用者引導至憑證收集頁面。

（故事在出版後進行了更新，加入了 Lvbug的更多見解。）