Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 28 Agosto 2024 22:22
Di recente, FortiGuard Labs ha scoperto una nuova campagna malware chiamara ValleyRAT rivolta agli utenti di lingua cinese. Storicamente, questo software ha preso di mira le aziende nei settori dell’e-commerce, della finanza, delle vendite e della gestione.
ValleyRAT è un malware a più fasi che utilizza vari metodi per monitorare e controllare le sue vittime, oltre a implementare plug-in aggiuntivi per causare maggiori danni. Una delle caratteristiche principali di questo software è l’uso attivo dello shellcode per eseguire i componenti direttamente in memoria, il che riduce significativamente le tracce della sua presenza nel sistema.
Per camuffare ValleyRAT, utilizza icone di applicazioni legittime, come Microsoft Office, e nomi di file associati a documenti finanziari. Questo lo rende più credibile per gli utenti. Una volta avviato, il programma crea un file vuoto e lo apre nell’applicazione per documenti di Microsoft Office per creare un’apparenza di legittimità.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Una volta installato, ValleyRAT controlla se è in esecuzione su una macchina virtuale e, se rileva segni di virtualizzazione, smette di funzionare. Successivamente, il malware utilizza una tecnica di “modalità di sospensione” per aggirare i sistemi di rilevamento, rendendo difficile l’identificazione da parte dei programmi antivirus. Durante la fase di inizializzazione, ValleyRAT aggiunge un’attività allo scheduler di Windows per garantire che venga eseguita automaticamente ogni volta che l’utente accede.
Sfrutta inoltre le vulnerabilità note nelle applicazioni legittime per ottenere privilegi di amministratore all’insaputa dell’utente. ValleyRAT aggira efficacemente i sistemi antivirus, in particolare quelli cinesi, confermando ancora una volta di prendere di mira tale regione. Il malware uccide i processi del programma antivirus, ne modifica le impostazioni nel registro e adotta misure aggiuntive per rimanere invisibile. Inoltre, ValleyRAT ha la funzionalità per eseguire comandi da remoto e scaricare componenti aggiuntivi dal server di comando e controllo, consentendo agli aggressori di ottenere il pieno controllo sul sistema infetto.
Questo malware è in grado di eseguire vari comandi, come il monitoraggio dell’attività dell’utente e l’installazione di moduli dannosi aggiuntivi, rendendolo particolarmente pericoloso per le vittime. Fortinet continua a monitorare l’attività di ValleyRAT e a fornire aggiornamenti per proteggere i propri clienti da questa minaccia.
Le soluzioni antivirus Fortinet come FortiGate e FortiMail includono già firme per rilevare e bloccare ValleyRAT. Per proteggersi da tali minacce, si consiglia di aggiornare regolarmente il software antivirus e aumentare la consapevolezza degli utenti sulle possibili minacce informatiche.
RedazioneDurante una RHC Conference, Corrado Giustozzi sottolineò una verità tanto semplice quanto potente: “L’essere umano è, da sempre, un creatore di amplificatori.”. Dal...
Nelle ultime ore, un’ondata massiccia di defacement ha preso di mira almeno una quindicina di siti web italiani. L’attacco è stato rivendicato dal threat actor xNot_RespondinGx (tea...
Nel mezzo degli intensi combattimenti tra Iran e Israele, il cyberspazio è stato coinvolto in una nuova fase di conflitto. Con il lancio dell’operazione israeliana Rising Lion, mirata all&...
