Cibersegurança ameaçada

Sites falsos do Chrome espalham malware ValleyRAT via sequestro de DLL

Cibercriminosos estão usando sites falsos do Google Chrome para distribuir o malware ValleyRAT. O ataque explora um método de sequestro de DLL, afetando principalmente usuários de Windows que falam chinês.

07/02/2025 08:00

Cibercriminosos estão se aproveitando de sites falsos que imitam a página oficial do Google Chrome para distribuir um perigoso trojan de acesso remoto (RAT) chamado ValleyRAT. Essa técnica explora o sequestro de DLL para comprometer sistemas, especialmente em regiões de língua chinesa, como China continental, Taiwan e Hong Kong.

Hackers usam sites falsos do Chrome para espalhar ValleyRAT

Chrome 103 Beta adiciona acesso a fontes locais e formato de compactação Deflate-Raw

O que é o ValleyRAT?

O ValleyRAT foi detectado inicialmente em 2023 e é atribuído ao grupo de hackers conhecido como Silver Fox. Esse malware tem sido utilizado em campanhas que miram profissionais em setores estratégicos, como financeiro, contábil e vendas. O objetivo é comprometer dispositivos de indivíduos com acesso a informações sensíveis.

As primeiras campanhas distribuíram o ValleyRAT junto com outras ameaças conhecidas, como Purple Fox e Gh0st RAT, este último amplamente utilizado por hackers chineses. Recentemente, hackers também utilizaram instaladores falsificados de softwares populares para disseminar o malware através de um carregador de DLL chamado PNGPlug.

Como funciona o ataque

A tática mais recente dos cibercriminosos envolve um site falso do Google Chrome, projetado para enganar usuários e levá-los a baixar um arquivo ZIP contendo um executável chamado “Setup.exe”. Ao ser executado, o programa verifica se possui permissões de administrador e, caso positivo, baixa outras quatro cargas maliciosas.

Entre esses arquivos, destaca-se um executável legítimo do Douyin (versão chinesa do TikTok), chamado “Douyin.exe”, que serve para carregar uma DLL corrompida (“tier0.dll”). Esse processo permite que o ValleyRAT seja executado sem levantar suspeitas. Além disso, outra DLL chamada “sscronet.dll” é carregada para encerrar processos que possam interferir na execução do malware.

Funções do ValleyRAT

Desenvolvido em C++ e compilado em chinês, o ValleyRAT possui um conjunto avançado de recursos, incluindo:

Monitoramento de tela e captura de informações;
Registro de pressionamentos de tecla (keylogging);
Persistência no sistema infectado;
Comunicação com servidores remotos para execução de comandos, download e execução de outros arquivos maliciosos.

Os hackers se aproveitam de executáveis legítimos vulneráveis ao sequestro de ordem de pesquisa de DLL para injetar suas cargas maliciosas. Essa técnica permite que o malware opere sem ser detectado facilmente por soluções de segurança convencionais.

Phishing com arquivos SVG

O surgimento dessa nova campanha acontece em um momento em que pesquisadores da Sophos identificaram ataques de phishing utilizando arquivos Scalable Vector Graphics (SVG). Esses arquivos estão sendo explorados para contornar mecanismos de detecção e distribuir keyloggers baseados em AutoIt, como o malware Nymeria. Além disso, tais técnicas têm sido usadas para redirecionar usuários para sites de roubo de credenciais.

Como se proteger

Diante dessa ameaça crescente, algumas medidas podem ser adotadas para evitar infecções pelo ValleyRAT:

Sempre baixe software de fontes oficiais e verifique URLs suspeitas;
Evite abrir arquivos executáveis de fontes desconhecidas;
Utilize soluções de segurança que detectem atividades suspeitas relacionadas a DLLs;
Mantenha seu sistema operacional e programas sempre atualizados para reduzir vulnerabilidades exploradas por atacantes.

A cibersegurança continua sendo um desafio constante, e novos métodos de ataque surgem frequentemente. Ficar atento a essas técnicas e reforçar as práticas de segurança digital são essenciais para minimizar os riscos.

Jardeson Márcio

Assuntos

Mais Notícias

Mais artigos

Ameaça cibernética

Novo malware botnet Aquabotv3 explora vulnerabilidade em telefones SIP Mitel

Uma nova versão do malware botnet Aquabot, baseada no Mirai, está explorando a vulnerabilidade CVE-2024-41710 em telefones SIP Mitel. O Aquabotv3 tem como objetivo alistar dispositivos em ataques DDoS, aproveitando falhas de segurança para propagação e persistência.

Alerta de malware em tons vermelhos destacando um aviso de infecção, ilustrando a ameaça do vírus Perfctl em servidores Linux.

Segurança cibernética

Ataques cibernéticos com MintsLoader distribuem StealC e BOINC

Descubra como o malware MintsLoader está sendo usado para distribuir StealC e BOINC, visando setores estratégicos na Europa e nos EUA. Saiba mais sobre as técnicas avançadas usadas pelos cibercriminosos.

Ataque furtivo

Gangue usa SSH para invadir VMWare ESXi

Hackers utilizam túneis SSH para invadir o VMware ESXi, explorando vulnerabilidades ou credenciais comprometidas. A abordagem permite acesso persistente e movimentação furtiva nas redes corporativas.

Dados expostos

UnitedHealth atualiza para 190 milhões os afetados por ataque de ransomware

A UnitedHealth atualizou o número de pessoas afetadas pelo ataque de ransomware de 2024 para 190 milhões, quase dobrando a estimativa anterior, revelando o maior vazamento de dados de saúde da história dos EUA.

Ameaça online

Centenas de sites falsos espalham malware Lumma Stealer

Hackers utilizam páginas falsas do Reddit e WeTransfer para espalhar o malware Lumma Stealer, capaz de roubar informações sensíveis e comprometer sistemas.

Ameaça cibernética

Malware J-magic ataca gateways Juniper VPN com técnica de "pacote mágico"

Malware J-magic mira dispositivos Juniper VPN, utilizando o "pacote mágico" para abrir acesso remoto. Ataca setores como semicondutores, energia e manufatura.