Phần mềm độc hại này được phát hiện lần đầu tiên vào năm 2023 và được cho là do một tác nhân đe dọa có tên Silver Fox gây ra, với các chiến dịch tấn công trước đó chủ yếu nhắm vào các khu vực người Hoa như Hồng Kông, Đài Loan và Trung Quốc đại lục.
Nhà nghiên cứu Shmuel Uzan của hãng bảo mật Morphisec (Israel) cho biết: "Kẻ tấn công này ngày càng nhắm vào các vị trí quan trọng trong các tổ chức, đặc biệt là bộ phận tài chính, kế toán và bán hàng, nhấn mạnh vào trọng tâm chiến lược là các vị trí có giá trị cao với quyền truy cập vào dữ liệu và hệ thống nhạy cảm”.
Các chuỗi tấn công ban đầu đã được quan sát thấy đã phát tán ValleyRAT cùng với các dòng phần mềm độc hại khác như Purple Fox và Gh0st RAT, trong đó Gh0st RAT đã được nhiều nhóm tin tặc Trung Quốc sử dụng và khai thác rộng rãi.
Chỉ tính riêng tháng 01/2025, các trình cài đặt giả mạo đối với phần mềm hợp pháp đã đóng vai trò là cơ chế trung gian để phân phối trojan thông qua DLL loader có tên là PNGPlug.
Điều đáng chú ý là một chương trình tải xuống nhắm vào người dùng Windows nói tiếng Trung Quốc trước đây đã được sử dụng để triển khai Gh0st RAT bằng các gói cài đặt độc hại cho trình duyệt web Chrome.
Tương tự như vậy, chuỗi tấn công mới nhất liên quan đến ValleyRAT bao gồm việc sử dụng một trang web Google Chrome giả mạo để đánh lừa nạn nhân tải xuống tệp ZIP có chứa tệp thực thi (Setup[.]exe).
Michael Gorelik, Giám đốc công nghệ của Morphisec, chia sẻ rằng có bằng chứng cho thấy có sự liên quan giữa hai nhóm hoạt động này và trang web cài đặt Chrome lừa đảo trước đây đã bị lợi dụng để tải xuống phần mềm Gh0st RAT.
Gorelik cho biết: “Chiến dịch này đặc biệt nhắm vào người dùng nói tiếng Trung Quốc, thể hiện qua việc sử dụng các trang web và ứng dụng ngôn ngữ Trung Quốc nhằm đánh cắp dữ liệu và né tránh phát hiện của các giải pháp bảo mật”.
Các liên kết đến các trang web Chrome giả mạo chủ yếu được phân phối thông qua các chương trình tải xuống tự động. Người dùng tìm kiếm trình duyệt Chrome sẽ được chuyển hướng đến các trang web độc hại này, nơi họ vô tình tải xuống trình cài đặt giả mạo. Phương pháp này khai thác lòng tin của người dùng vào các bản tải xuống phần mềm hợp pháp, khiến họ dễ bị lây nhiễm mã độc.
Khi thực thi, tệp nhị phân thiết lập sẽ kiểm tra xem nó có quyền quản trị viên hay không và sau đó tiến hành tải xuống 04 phần mềm bổ sung, bao gồm một tệp thực thi hợp pháp liên quan đến Douyin (Douyin[.]exe) – một phiên bản tiếng Trung của TikTok, được sử dụng để tải một DLL độc hại (tier0[.]dll), sau đó khởi chạy mã độc ValleyRAT.
Ngoài ra còn có một tệp DLL khác (sscronet[.]dll) có chức năng chấm dứt bất kỳ tiến trình nào đang chạy có trong danh sách loại trừ.
Được biên dịch bằng tiếng Trung và viết bằng ngôn ngữ C++, ValleyRAT là một trojan được thiết kế để theo dõi nội dung màn hình, ghi lại các lần thao tác bàn phím và thiết lập tính bền bỉ trên máy chủ.
Bên cạnh đó, phần mềm độc hại này cũng có khả năng khởi tạo giao tiếp với máy chủ điều khiển và ra lệnh (C2) để chờ các hướng dẫn tiếp theo, cho phép nó liệt kê các tiến trình, cũng như tải xuống và thực thi các tệp DLL cũng như tệp nhị phân tùy ý.
Uzan cho biết: “Để chèn dữ liệu, kẻ tấn công đã lợi dụng các tệp thực thi đã ký số hợp lệ, sử dụng kỹ thuật DLL Search Oder Hijacking”.
Sự phát triển này diễn ra khi công ty an ninh mạng Sophos (Mỹ) chia sẻ thông tin chi tiết về các cuộc tấn công lừa đảo sử dụng tệp đính kèm Scalable Vector Graphics (SVG) để tránh bị phát hiện và phát tán phần mềm độc hại ghi lại thao tác phím dựa trên AutoIt như Nymeria hoặc hướng người dùng đến các trang thu thập thông tin đăng nhập.
Hồng Đạt
(Tổng hợp)
14:00 | 24/01/2025
09:00 | 02/08/2024
13:00 | 01/08/2024
08:00 | 27/02/2025
Ngày 21/02, sàn giao dịch tiền mã hóa Bybit đã hứng chịu một cuộc tấn công mạng nghiêm trọng, gây thiệt hại khoảng 1,5 tỷ USD. Đây là một trong những vụ tấn công mạng lớn nhất trong lịch sử ngành Blockchain, gióng lên hồi chuông cảnh báo về an ninh tài sản số trên toàn cầu, trong đó có Việt Nam.
10:00 | 24/02/2025
GitLab đã ban hành một khuyến cáo bảo mật kêu gọi người dùng cập nhật hệ thống ngay lập tức để khắc phục nhiều lỗ hổng, bao gồm một lỗ hổng Cross-Site Scripting (XSS) nghiêm trọng. Bản cập nhật này áp dụng cho GitLab Community Edition (CE) và Enterprise Edition (EE) với các phiên bản 17.8.2, 17.7.4 và 17.6.5.
08:00 | 19/02/2025
Một lỗ hổng bảo mật trong Bypass SAML trên GitHub Enterpris định danh CVE-2025-23369 có điểm CVSS là 7,6 vừa được công bố, cho phép kẻ tấn công bỏ qua cơ chế xác thực SAML trên GitHub Enterprise.
13:00 | 06/01/2025
Trong thời đại công nghệ phát triển nhanh chóng hiện nay, việc bảo vệ ứng dụng web và dịch vụ mạng trước các mối đe dọa đang trở nên ngày càng quan trọng. Một trong những mối đe dọa phổ biến nhất mà các nhà phát triển và quản trị viên hệ thống phải đối mặt là kỹ thuật tấn công từ chối dịch vụ biểu thức chính quy (Regular Expression Denial of Service - ReDoS). ReDoS là một loại tấn công mạng có thể làm cho các ứng dụng web và dịch vụ mạng trở nên không khả dụng hoặc rất chậm bằng cách tận dụng các biểu thức chính quy phức tạp. Bài viết sẽ giới thiệu tới độc giả kỹ thuật ReDoS, đưa ra giải pháp phát hiện và ngăn chặn trên các ứng dụng Web và dịch vụ mạng.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Juniper Networks đã phát hành bản vá khẩn cấp để giải quyết một lỗ hổng bảo mật đang bị khai thác tích cực trong hệ điều hành Junos OS định danh CVE-2025-21590. Lỗ hổng này cho phép kẻ tấn công cục bộ có thể thực thi mã tùy ý, ảnh hưởng đến nhiều phiên bản của Junos OS. Kẻ tấn công có quyền truy cập cao có thể tiêm mã tùy ý và làm tổn hại đến thiết bị bị ảnh hưởng.
10:00 | 21/03/2025
