Statt Google Chrome kommt ValleyRAT-Malware
Cyberkriminelle locken Nutzer mit Werbung für Google-Chrome auf gefälschte Webseiten, um ihnen schädliche Installer unterzujubeln. Diese richten heimlich den gefährlichen Remote-Access-Trojaner ValleyRAT ein und ermöglichen den Angreifern so Zugriff auf die infizierten Geräte.
Die fragliche Malware wurde erstmals im Jahr 2023 entdeckt und wird der Hackergruppe Silver Fox zugeschrieben. Frühere Angriffe dieser Gruppe richteten sich hauptsächlich gegen chinesischsprachige Regionen wie Hongkong, Taiwan und Festlandchina.
„Diese Gruppe nimmt zunehmend Schlüsselpositionen in Unternehmen ins Visier – besonders in den Bereichen Finanzen, Buchhaltung und Vertrieb. Dies zeigt, dass sie sich strategisch auf hochrangige Mitarbeiter konzentriert, die Zugang zu sensiblen Daten und Systemen haben“, erklärte der Morphisec-Experte Shmuel Uzan in einem kürzlich veröffentlichten Bericht.
In ersten Angriffswellen wurde ValleyRAT häufig zusammen mit anderen Schadprogrammen wie Purple Fox und Gh0st RAT verbreitet. Besonders Gh0st RAT wird bereits seit Längerem von verschiedenen chinesischen Hackergruppen eingesetzt.
Noch im vergangenen Monat wurden gefälschte Installationsprogramme für legitime Software genutzt, um den Trojaner zu verbreiten. Dabei kam ein spezieller DLL-Loader namens PNGPlug zum Einsatz.
Es ist bemerkenswert, dass bereits zuvor eine Drive-by-Download-Methode genutzt wurde, um Gh0st RAT zu verbreiten. Dabei wurden manipulierte Installationspakete für den Chrome-Browser verwendet, um chinesischsprachige Windows-Nutzer zu infizieren.
Starke Parallelen im Angriffsmuster
Nach einem ähnlichen Muster läuft auch die neueste Angriffsmethode mit ValleyRAT: Eine gefälschte Google-Chrome-Webseite soll Opfer dazu verleiten, ein ZIP-Archiv mit einer ausführbaren Datei („Setup.exe“) herunterzuladen.
Laut Morphisec-CTO Michael Gorelik gibt es Hinweise darauf, dass diese beiden Angriffsmethoden miteinander verbunden sind. Die betrügerische Chrome-Installationsseite wurde zuvor bereits genutzt, um die Gh0st RAT-Schadsoftware zu verbreiten. „Diese Angriffskampagne richtete sich gezielt an chinesischsprachige Nutzer, erkennbar an der Nutzung von chinesischsprachigen Inhalten auf gefälschten Webseiten und in schädlichen Anwendungen. Die Malware wurde speziell entwickelt, um Daten zu stehlen und Sicherheitsmaßnahmen zu umgehen“, so Gorelik. „Die Links zu den gefälschten Chrome-Webseiten werden vor allem über Drive-by-Download-Methoden verbreitet. Dabei werden Nutzer, die nach dem Chrome-Browser suchen, auf diese betrügerischen Webseiten umgeleitet, wo sie ohne Zutun das gefälschte Installationsprogramm herunterladen. Diese Technik nutzt das Vertrauen der Nutzer in offizielle Software-Downloads aus und macht sie dadurch anfällig für Infektionen.“
Sobald die heruntergeladene Setup-Datei gestartet wird, überprüft sie zunächst, ob sie mit Administratorrechten ausgeführt wird. Anschließend lädt sie vier weitere Dateien herunter. Dazu gehört eine legitime ausführbare Datei namens Douyin.exe – die chinesische Version von TikTok. Diese Datei wird genutzt, um eine manipulierte DLL-Datei (tier0.dll) nachzuladen, die dann die ValleyRAT-Malware ausführt.
Zusätzlich wird eine weitere DLL-Datei (sscronet.dll) heruntergeladen. Diese ist dafür verantwortlich, bestimmte laufende Programme zu beenden, die auf einer internen Ausschlussliste stehen.
ValleyRAT mit umfangreichen Fähigkeiten ausgestattet
Die Malware ValleyRAT wurde in C++ entwickelt und kann Bildschirmaktivitäten überwachen, Tastatureingaben aufzeichnen und sich dauerhaft auf dem infizierten System einnisten. Außerdem kann sie mit einem entfernten Server kommunizieren, um Befehle zu empfangen. Dadurch kann sie unter anderem laufende Prozesse auslesen, weitere schädliche DLL-Dateien oder Programme herunterladen und ausführen.
„Die Angreifer haben legitime, signierte Programme missbraucht, die für eine Schwachstelle namens DLL Search Order Hijacking anfällig sind, um ihren Schadcode unbemerkt einzuschleusen“, so Uzan.
Parallel dazu hat das Sicherheitsunternehmen Sophos berichtet, dass Cyberkriminelle eine neue Methode nutzen, um ihre Angriffe zu verschleiern. Sie versenden Phishing-E-Mails mit Scalable Vector Graphics (SVG) als Anhang, um Sicherheitssysteme zu umgehen. Diese Angriffe dienen entweder dazu, eine AutoIt-basierte Keylogger-Malware wie Nymeria zu installieren, oder Nutzer auf gefälschte Anmeldeseiten zu locken, um ihre Zugangsdaten zu stehlen.