Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

ValleyRAT - новый вредонос, нацеленный на синоязычных пользователей

19/08/24

hack54-Aug-19-2024-09-52-35-8748-AM

В последнее время FortiGuard Labs обнаружили новую кампанию вредоносного ПО ValleyRAT, нацеленную на пользователей, говорящих на китайском языке. Исторически это ПО атакует предприятия в сферах электронной коммерции, финансов, продаж и управления.

ValleyRAT представляет собой многоступенчатое вредоносное ПО, использующее различные методы для мониторинга и контроля своих жертв, а также для развёртывания дополнительных плагинов с целью нанесения большего ущерба, пишет Securitylab. Одной из ключевых особенностей этого ПО является активное использование шеллкода для исполнения компонентов непосредственно в памяти, что значительно снижает следы его присутствия в системе.

Для маскировки ValleyRAT использует иконки легитимных приложений, таких как Microsoft Office, и названия файлов, связанные с финансовыми документами. Это делает его более правдоподобным для пользователей. При запуске программа создаёт пустой файл и открывает его в приложении для работы с документами Microsoft Office, чтобы создать видимость легитимности.

После установки ValleyRAT проверяет, запущен ли он в виртуальной машине, и если обнаруживает признаки виртуализации, прекращает выполнение. Далее, вредоносное ПО использует технику «спящего режима» для обхода систем обнаружения, что затрудняет его идентификацию антивирусными программами.

На этапе инициализации ValleyRAT добавляет задачу в планировщик Windows, чтобы обеспечивать своё автоматическое выполнение при каждом входе пользователя в систему. Также оно использует известные уязвимости легитимных приложений для получения привилегий администратора без уведомления пользователя.

ValleyRAT эффективно обходит антивирусные системы, в частности китайские, что ещё раз подтверждает его целевую направленность на китайских пользователей. Вредоносное ПО убивает процессы антивирусных программ, изменяет их настройки в реестре и предпринимает дополнительные меры для своей незаметности.

Кроме того, ValleyRAT обладает функциональностью для удалённого выполнения команд и загрузки дополнительных компонентов с командного сервера, что позволяет злоумышленникам получать полный контроль над заражённой системой.

Эта вредоносная программа способна выполнять различные команды, такие как мониторинг активности пользователя и установка дополнительных вредоносных модулей, что делает её особенно опасной для жертв.

Fortinet продолжает мониторить активность ValleyRAT и предоставляет обновления для защиты своих клиентов от этой угрозы. Антивирусные решения Fortinet, такие как FortiGate и FortiMail, уже включают сигнатуры для обнаружения и блокировки ValleyRAT.

Для защиты от подобных угроз рекомендуется регулярно обновлять антивирусное программное обеспечение и повышать осведомлённость пользователей о возможных киберугрозах.

Темы:КитайПреступленияFortiGuardRAT-трояны
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...