La fretta per connetterti alla Teams del mattino, è il tuo peggior nemico!

I malintenzionati stanno utilizzando false pagine di Microsoft Teams per diffondere il Trojan ValleyRAT, un malware pericoloso che può rubare informazioni sensibili

Ancora una volta, i malintenzionati sfruttano l’abitudine degli utenti di scaricare in fretta i programmi di lavoro. Questa volta, l’esca è costituita da false pagine di Microsoft Teams che imitano il sito di download ufficiale, ma invece di un programma di installazione sicuro, scaricano il Trojan ValleyRAT.

Secondo K7 Security Labs, gli aggressori stanno utilizzando i domini teams-securecall[.]com e teamszs[.]com.

Le pagine imitano il design del sito web di Microsoft Teams e invitano gli utenti a scaricare archivi ZIP contenenti programmi di installazione infetti da trojan. Una volta avviati, i malintenzionati installano non solo componenti dannosi, ma anche la versione originale di Microsoft Teams e creano un collegamento sul desktop. Questa tecnica aiuta a nascondere l’infezione, poiché l’utente visualizza il programma previsto e potrebbe non accorgersi di alcuna attività anomala.

La catena di infezione utilizza il file legittimo GameBox.exe di Tencent. Questo file avvia la libreria di utilità .dll dannosa. Tale metodo, noto come dirottamento di DLL , consente al codice dannoso di apparire come parte di un’applicazione attendibile. Inoltre, il programma modifica le impostazioni di Windows Defender tramite PowerShell, aggiungendo le proprie directory e i propri file alle esclusioni.

ValleyRAT copia i componenti nella cartella ProgramData, nasconde i file all’utente e modifica il registro di sistema. Per mantenere la persistenza nel sistema, crea il servizio _CCGDAT, che si avvia all’avvio di Windows.

Gli autori del rapporto hanno inoltre riscontrato elementi simili a precedenti operazioni di ValleyRAT, inclusi artefatti in cinese. Il quadro tecnico suggerisce una connessione con il gruppo APT SilverFox .

Il payload viene memorizzato crittografato e decrittografato direttamente in memoria utilizzando le funzioni di Windows. Il codice viene quindi eseguito senza scrivere il modulo principale su disco, riducendo la possibilità di rilevamento da parte dei software antivirus standard.

Le fasi successive utilizzano l’hashing API e la crittografia XOR proprietaria quando ricevono il codice finale dal server di comando e controllo. Questo approccio consente agli operatori di modificare rapidamente le funzionalità del malware dopo l’infezione.

Una volta installato, ValleyRAT monitora gli appunti, intercetta le sequenze di tasti, raccoglie i log di servizio e mantiene una comunicazione costante con l’infrastruttura di controllo tramite TCP. Gli aggressori possono accedere gli appunti per ottenere password, token e indirizzi di portafogli di criptovalute se l’utente copia tali dati durante il lavoro.

In un ambiente aziendale, un logo familiare e una pagina di download ben curata non sono più considerati sinonimo di sicurezza.

Una protezione affidabile inizia con semplici accorgimenti: verificare la provenienza del programma di installazione, limitare l’esecuzione di file sconosciuti e non fidarsi dell’aspetto del sito web, nemmeno se si tratta di un programma di lavoro familiare.

Luigi Zullo

Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.

Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response