新型ValleyRAT恶意软件通过伪造Chrome下载传播
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
Morphisec发现了一种新型ValleyRAT恶意软件变种,采用多阶段感染和先进的规避策略,主要通过钓鱼邮件和伪造网站传播,目标是高价值个人,尤其是财务部门。该恶意软件通过伪装的Chrome下载进行初始感染,并利用DLL侧加载和内存执行来规避检测。
🎯
关键要点
- Morphisec发现了一种新型ValleyRAT恶意软件变种,采用多阶段感染和先进的规避策略。
- 该恶意软件主要通过钓鱼邮件、即时通讯平台和伪造网站传播,目标是高价值个人,尤其是财务部门的员工。
- 新版本的ValleyRAT通过伪装成合法软件的下载进行初始感染,使用DLL侧加载和内存执行来规避检测。
- 攻击者使用虚假中国电信公司网站分发恶意软件,并下载包含DLL文件的.NET可执行文件。
- 恶意软件通过伪造的Chrome浏览器下载进行初始感染,利用合法进程进行代码注入。
- ValleyRAT使用修改版的抖音可执行文件进行DLL侧加载,并通过合法的游戏文件执行恶意代码。
- 该恶意软件具有基本的远程访问木马功能,并包含反虚拟机检测机制,以规避安全检测。
❓
延伸问答
ValleyRAT恶意软件是如何传播的?
ValleyRAT恶意软件主要通过钓鱼邮件、即时通讯平台和伪造网站传播,目标是高价值个人,尤其是财务部门的员工。
ValleyRAT恶意软件的初始感染途径是什么?
初始感染途径是通过伪造的Chrome浏览器下载,诱骗受害者下载并执行恶意软件。
ValleyRAT恶意软件使用了哪些规避检测的技术?
该恶意软件使用DLL侧加载和内存执行技术,绕过传统的基于磁盘的检测方法,并禁用AMSI和ETW等安全机制。
ValleyRAT恶意软件的目标用户是谁?
该恶意软件主要针对组织内的高价值个人,尤其是财务、会计和销售部门的员工。
ValleyRAT恶意软件的功能有哪些?
ValleyRAT是一种远程访问木马,具有屏幕监视、键盘和鼠标交互等基本功能。
攻击者是如何利用虚假网站分发ValleyRAT的?
攻击者使用名为“Karlos”的虚假中国电信公司网站分发恶意软件,下载包含DLL文件的.NET可执行文件。
➡️
