Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 28 Agosto 2024 22:22
Di recente, FortiGuard Labs ha scoperto una nuova campagna malware chiamara ValleyRAT rivolta agli utenti di lingua cinese. Storicamente, questo software ha preso di mira le aziende nei settori dell’e-commerce, della finanza, delle vendite e della gestione.
ValleyRAT è un malware a più fasi che utilizza vari metodi per monitorare e controllare le sue vittime, oltre a implementare plug-in aggiuntivi per causare maggiori danni. Una delle caratteristiche principali di questo software è l’uso attivo dello shellcode per eseguire i componenti direttamente in memoria, il che riduce significativamente le tracce della sua presenza nel sistema.
Per camuffare ValleyRAT, utilizza icone di applicazioni legittime, come Microsoft Office, e nomi di file associati a documenti finanziari. Questo lo rende più credibile per gli utenti. Una volta avviato, il programma crea un file vuoto e lo apre nell’applicazione per documenti di Microsoft Office per creare un’apparenza di legittimità.
Una volta installato, ValleyRAT controlla se è in esecuzione su una macchina virtuale e, se rileva segni di virtualizzazione, smette di funzionare. Successivamente, il malware utilizza una tecnica di “modalità di sospensione” per aggirare i sistemi di rilevamento, rendendo difficile l’identificazione da parte dei programmi antivirus. Durante la fase di inizializzazione, ValleyRAT aggiunge un’attività allo scheduler di Windows per garantire che venga eseguita automaticamente ogni volta che l’utente accede.
Sfrutta inoltre le vulnerabilità note nelle applicazioni legittime per ottenere privilegi di amministratore all’insaputa dell’utente. ValleyRAT aggira efficacemente i sistemi antivirus, in particolare quelli cinesi, confermando ancora una volta di prendere di mira tale regione. Il malware uccide i processi del programma antivirus, ne modifica le impostazioni nel registro e adotta misure aggiuntive per rimanere invisibile. Inoltre, ValleyRAT ha la funzionalità per eseguire comandi da remoto e scaricare componenti aggiuntivi dal server di comando e controllo, consentendo agli aggressori di ottenere il pieno controllo sul sistema infetto.
Questo malware è in grado di eseguire vari comandi, come il monitoraggio dell’attività dell’utente e l’installazione di moduli dannosi aggiuntivi, rendendolo particolarmente pericoloso per le vittime. Fortinet continua a monitorare l’attività di ValleyRAT e a fornire aggiornamenti per proteggere i propri clienti da questa minaccia.
Le soluzioni antivirus Fortinet come FortiGate e FortiMail includono già firme per rilevare e bloccare ValleyRAT. Per proteggersi da tali minacce, si consiglia di aggiornare regolarmente il software antivirus e aumentare la consapevolezza degli utenti sulle possibili minacce informatiche.
RedazioneIl MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali...
Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso p...
All’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate. Tu...
In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone ...
La recente edizione 2025.4 di Kali Linux è stata messa a disposizione del pubblico, introducendo significative migliorie per quanto riguarda gli ambienti desktop GNOME, KDE e Xfce. D’ora in poi, Wa...
