Dans le sillage des menaces incessantes sur la cybersécurité, les chercheurs spécialisés viennent de dévoiler une nouvelle version d’une menace perspicace connue sous le nom de ValleyRAT. Cette résurgence, marquée par des méthodes de vol de données particulièrement sophistiquées et des stratégies évoluées pour déjouer les protections, place de nouveau le secteur sous haute surveillance. La nouvelle version de ce malware, actuellement distribuée par une campagne actuelle, met en lumière l’urgence constante de la mise à jour des mesures de sécurité informatique.
Approfondissement des méthodes d’attaque de ValleyRAT
Découverte et analyse des nouvelles capacités
Les experts de chez Zscaler ThreatLabz, Muhammed Irfan V A et Manisha Ramcharan Prajapati, ont observé que ValleyRAT a nettement évolué avec l’introduction de nouvelles instructions permettant entre autres de capturer des captures d’écran, de filtrer des processus, d’effectuer des arrêts forcés, et d’effacer les logs des événements Windows. Ces nouvelles fonctionnalités démontrent une capacité accrue de nuisance, visant à s’emparer de données sensibles et à exécuter discrètement des malveillances supplémentaires sur les systèmes infectés.
Origines et cibles du malware
Initialement identifié par QiAnXin et Proofpoint en 2023 durant une campagne de phishing visant des utilisateurs sinophones et des organisations japonaises, ValleyRAT distribuait diverses familles de malwares telles que Purple Fox et une variante du trojan Gh0st RAT nommée Sainbox RAT (aussi connue sous le nom de FatalRAT). L’acteur de menace, basé en Chine, utilise principalement le malware pour récolter des informations sensibles et déployer d’autres charges sur les hôtes compromis.
Méthodologie infiltrante et dissimulation
Le processus d’infection multisegment
La campagne utilise un agent de téléchargement qui exploite un serveur HFS (HTTP File Server) pour récupérer un fichier nommé « NTUSER.DXM ». Ce fichier, une fois décodé, extrait un fichier DLL responsable de télécharger « client.exe » depuis le même serveur. Le fichier DLL, préalablement déchiffré, est également conçu pour détecter et terminer les solutions antivirus de Qihoo 360 et WinRAR dans une tentative d’éviter l’analyse.
L’usage astucieux des fichiers légitimes
Le malware déclenche alors « WINWORD2013.EXE, » un exécutable légitime de Microsoft Word, pour charger de manière latérale « wwlib.dll », qui assure le maintien du système et charge « xig.ppt » en mémoire. Ce dernier continue le processus d’exécution en tant que mécanisme de déchiffrement et d’injection de shellcode dans svchost.exe, créant ainsi un processus propice à l’activité malveillante.
En conclusion, l’existence de ValleyRAT souligne encore la nécessité pour les entreprises de renforcer leur infrastructure de cybersécurité. Chez CyberCare, nous comprenons l’importance de se protéger contre de telles menaces avancées et proposons des services à la pointe pour surveiller, détecter et neutraliser les malwares avant qu’ils n’impactent gravement vos opérations.
