ValleyRAT: un malware silente nascosto nel sistema pronto ad ingannare i moderni antivirus

Di recente, FortiGuard Labs ha scoperto una nuova campagna malware chiamara ValleyRAT rivolta agli utenti di lingua cinese. Storicamente, questo software ha preso di mira le aziende nei settori dell’e-commerce, della finanza, delle vendite e della gestione.

ValleyRAT è un malware a più fasi che utilizza vari metodi per monitorare e controllare le sue vittime, oltre a implementare plug-in aggiuntivi per causare maggiori danni. Una delle caratteristiche principali di questo software è l’uso attivo dello shellcode per eseguire i componenti direttamente in memoria, il che riduce significativamente le tracce della sua presenza nel sistema.

Per camuffare ValleyRAT, utilizza icone di applicazioni legittime, come Microsoft Office, e nomi di file associati a documenti finanziari. Questo lo rende più credibile per gli utenti. Una volta avviato, il programma crea un file vuoto e lo apre nell’applicazione per documenti di Microsoft Office per creare un’apparenza di legittimità.

Una volta installato, ValleyRAT controlla se è in esecuzione su una macchina virtuale e, se rileva segni di virtualizzazione, smette di funzionare. Successivamente, il malware utilizza una tecnica di “modalità di sospensione” per aggirare i sistemi di rilevamento, rendendo difficile l’identificazione da parte dei programmi antivirus. Durante la fase di inizializzazione, ValleyRAT aggiunge un’attività allo scheduler di Windows per garantire che venga eseguita automaticamente ogni volta che l’utente accede.

Sfrutta inoltre le vulnerabilità note nelle applicazioni legittime per ottenere privilegi di amministratore all’insaputa dell’utente. ValleyRAT aggira efficacemente i sistemi antivirus, in particolare quelli cinesi, confermando ancora una volta di prendere di mira tale regione. Il malware uccide i processi del programma antivirus, ne modifica le impostazioni nel registro e adotta misure aggiuntive per rimanere invisibile. Inoltre, ValleyRAT ha la funzionalità per eseguire comandi da remoto e scaricare componenti aggiuntivi dal server di comando e controllo, consentendo agli aggressori di ottenere il pieno controllo sul sistema infetto.

Questo malware è in grado di eseguire vari comandi, come il monitoraggio dell’attività dell’utente e l’installazione di moduli dannosi aggiuntivi, rendendolo particolarmente pericoloso per le vittime. Fortinet continua a monitorare l’attività di ValleyRAT e a fornire aggiornamenti per proteggere i propri clienti da questa minaccia.

Le soluzioni antivirus Fortinet come FortiGate e FortiMail includono già firme per rilevare e bloccare ValleyRAT. Per proteggersi da tali minacce, si consiglia di aggiornare regolarmente il software antivirus e aumentare la consapevolezza degli utenti sulle possibili minacce informatiche.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Marcello Filacchioni

ICT CISO e Cyber Security Manager con oltre vent’anni di esperienza tra settore pubblico e privato, ha guidato progetti di sicurezza informatica per realtà di primo piano. Specializzato in risk management, governance e trasformazione digitale, ha collaborato con vendor internazionali e startup innovative, contribuendo all’introduzione di soluzioni di cybersecurity avanzate. Possiede numerose certificazioni (CISM, CRISC, CISA, PMP, ITIL, CEH, Cisco, Microsoft, VMware) e svolge attività di docenza pro bono in ambito Cyber Security, unendo passione per l’innovazione tecnologica e impegno nella diffusione della cultura della sicurezza digitale.

Aree di competenza: Cyber Security Strategy & Governance, Vulnerability Management & Security Operations.