- 27,514
- 46
- 8 Ноя 2022
Поддельный архив надёжно усыпляет бдительность и виртуозно заметает следы атаки.
Злоумышленники снова играют на привычке пользователей скачивать рабочие программы в спешке. На этот раз приманкой стали поддельные страницы Microsoft Teams , которые выглядят как официальный сайт загрузки, но вместо безопасного установщика приводят на компьютер троян ValleyRAT .
По данным K7 Security Labs, атакующие используют домены teams-securecall[.]com и teamszs[.]com. Страницы копируют оформление сайта Microsoft Teams и предлагают скачать ZIP-архивы с троянизированными установщиками. После запуска в систему устанавливаются не только вредоносные компоненты, но и настоящая версия Microsoft Teams, а также создаётся ярлык на рабочем столе. Такой приём помогает скрыть заражение, потому что пользователь видит ожидаемую программу и может не заметить постороннюю активность.
Внутри цепочки заражения используется легитимный файл GameBox.exe от Tencent. Через него запускается вредоносная библиотека utility.dll. Такой метод известен как подмена DLL и позволяет вредоносному коду выглядеть частью доверенного приложения. Дополнительно программа меняет настройки Windows Defender через PowerShell, добавляя свои каталоги и файлы в исключения.
ValleyRAT копирует компоненты в ProgramData, скрывает файлы от пользователя и меняет реестр. Для закрепления в системе создаётся служба _CCGDAT, которая запускается вместе с Windows. Авторы отчёта также находят признаки, похожие на прежние операции ValleyRAT, включая артефакты на китайском языке. Техническая картина указывает на связь с активностью группы SilverFox APT .
Полезная нагрузка хранится в зашифрованном виде и расшифровывается прямо в памяти с помощью функций Windows. Затем код запускается без записи основного модуля на диск, что снижает шанс обнаружения обычными антивирусами. Следующие этапы применяют хеширование API и собственное XOR-шифрование при получении финального кода с командного сервера. Такой подход позволяет операторам быстро менять возможности вредоноса после заражения.
После развёртывания ValleyRAT следит за буфером обмена, перехватывает нажатия клавиш, собирает служебные логи и поддерживает постоянную связь с управляющей инфраструктурой по TCP . Через буфер обмена злоумышленники могут получить пароли, токены и адреса криптокошельков, если пользователь копирует такие данные во время работы.
В корпоративной среде привычный логотип и аккуратная страница загрузки больше не могут считаться признаком безопасности. Надёжная защита начинается с простой дисциплины: проверять источник установщика, ограничивать запуск неизвестных файлов и не полагаться на внешний вид сайта, даже когда речь идёт о знакомой рабочей программе.
Злоумышленники снова играют на привычке пользователей скачивать рабочие программы в спешке. На этот раз приманкой стали поддельные страницы Microsoft Teams , которые выглядят как официальный сайт загрузки, но вместо безопасного установщика приводят на компьютер троян ValleyRAT .
По данным K7 Security Labs, атакующие используют домены teams-securecall[.]com и teamszs[.]com. Страницы копируют оформление сайта Microsoft Teams и предлагают скачать ZIP-архивы с троянизированными установщиками. После запуска в систему устанавливаются не только вредоносные компоненты, но и настоящая версия Microsoft Teams, а также создаётся ярлык на рабочем столе. Такой приём помогает скрыть заражение, потому что пользователь видит ожидаемую программу и может не заметить постороннюю активность.
Внутри цепочки заражения используется легитимный файл GameBox.exe от Tencent. Через него запускается вредоносная библиотека utility.dll. Такой метод известен как подмена DLL и позволяет вредоносному коду выглядеть частью доверенного приложения. Дополнительно программа меняет настройки Windows Defender через PowerShell, добавляя свои каталоги и файлы в исключения.
ValleyRAT копирует компоненты в ProgramData, скрывает файлы от пользователя и меняет реестр. Для закрепления в системе создаётся служба _CCGDAT, которая запускается вместе с Windows. Авторы отчёта также находят признаки, похожие на прежние операции ValleyRAT, включая артефакты на китайском языке. Техническая картина указывает на связь с активностью группы SilverFox APT .
Полезная нагрузка хранится в зашифрованном виде и расшифровывается прямо в памяти с помощью функций Windows. Затем код запускается без записи основного модуля на диск, что снижает шанс обнаружения обычными антивирусами. Следующие этапы применяют хеширование API и собственное XOR-шифрование при получении финального кода с командного сервера. Такой подход позволяет операторам быстро менять возможности вредоноса после заражения.
После развёртывания ValleyRAT следит за буфером обмена, перехватывает нажатия клавиш, собирает служебные логи и поддерживает постоянную связь с управляющей инфраструктурой по TCP . Через буфер обмена злоумышленники могут получить пароли, токены и адреса криптокошельков, если пользователь копирует такие данные во время работы.
В корпоративной среде привычный логотип и аккуратная страница загрузки больше не могут считаться признаком безопасности. Надёжная защита начинается с простой дисциплины: проверять источник установщика, ограничивать запуск неизвестных файлов и не полагаться на внешний вид сайта, даже когда речь идёт о знакомой рабочей программе.
- Источник новости
- www.securitylab.ru
