PNGPlug Loader e ValleyRAT: malware disfarçado em instaladores falsos de software
Pesquisadores de segurança cibernética alertaram para uma série de ataques direcionados a regiões de língua chinesa, como Hong Kong, Taiwan e China continental. Esses ataques utilizam um malware conhecido como ValleyRAT, entregue por meio de um loader sofisticado chamado PNGPlug.
O objetivo principal dos invasores é comprometer sistemas usando instaladores de software falsos e uma cadeia de ataque bem estruturada, que disfarça atividades maliciosas sob a aparência de aplicativos legítimos.
Como funciona a cadeia de infecção do PNGPlug?
O ataque começa com uma página de phishing projetada para convencer as vítimas a baixar um instalador malicioso do Microsoft Installer (MSI).
Etapas do ataque
-
Download do instalador malicioso
O usuário é levado a baixar um arquivo MSI que parece ser um programa legítimo. -
Execução do instalador
Quando executado, o instalador:- Implanta um aplicativo legítimo para evitar suspeitas.
- Extrai, de forma silenciosa, um arquivo compactado criptografado que contém os componentes do malware.
-
Descompactação do arquivo malicioso
Usando a funcionalidade CustomAction do Windows Installer, o instalador executa um DLL malicioso que:- Descriptografa o arquivo compactado usando uma senha hardcoded (“hello202411”).
- Extrai os seguintes componentes:
- libcef.dll (DLL malicioso).
- down.exe (aplicativo legítimo para disfarçar as atividades).
- aut.png e view.png (arquivos maliciosos disfarçados como imagens PNG).
-
Execução do malware
- O PNGPlug prepara o ambiente para execução do malware principal.
- Ele injeta os arquivos aut.png e view.png na memória para alterar o registro do Windows e configurar persistência.
- Em seguida, ativa o ValleyRAT, que é o trojan responsável por permitir o controle remoto do sistema infectado.
O que é o ValleyRAT?
O ValleyRAT é um trojan de acesso remoto (RAT) projetado para fornecer controle total sobre sistemas infectados. Ele tem sido amplamente usado desde 2023 e, nas versões mais recentes, incorporou funcionalidades como:
- Captura de telas das máquinas infectadas.
- Exclusão de logs de eventos do Windows para evitar detecção.
O malware está associado a um grupo chamado Silver Fox, que utiliza um framework de comando e controle (C&C) chamado Winos 4.0.
Características únicas da campanha
A campanha tem características marcantes que a diferenciam de outros ataques:
-
Foco na comunidade de língua chinesa
Os atacantes utilizam iscas relacionadas a softwares populares e relevantes para usuários chineses, aumentando a chance de infecção. -
Uso de software legítimo
O malware é habilmente disfarçado em aplicativos legítimos, tornando sua detecção mais desafiadora. -
Flexibilidade do PNGPlug
A modularidade do PNGPlug permite que ele seja adaptado para diferentes campanhas, tornando-o um vetor de ataque altamente versátil.
Exemplo de script para análise de atividades suspeitas
Usuários e analistas de segurança podem monitorar atividades anômalas no sistema com scripts como o abaixo, que verifica mudanças recentes no registro do Windows e localiza DLLs não reconhecidas:
# Verificar alterações no Registro do Windows relacionadas a persistência
Get-ItemProperty -Path “HKCU:\Software\Microsoft\Windows\CurrentVersion\Run” | ForEach-Object {
Write-Host “Chave: $($_.PSChildName) | Valor: $($_.PSObject.Properties.Value)”
}
# Localizar DLLs suspeitas carregadas na memória
Get-Process | ForEach-Object {
$dlls = $_.Modules | Where-Object { $_.FileName -like “*.dll” -and $_.FileName -match “Temp|AppData” }
if ($dlls) {
Write-Host “Processo: $($_.ProcessName) | DLL Suspeita: $($dlls.FileName)”
}
}
Como proteger-se contra ataques semelhantes?
-
Evitar downloads de fontes não confiáveis
Nunca baixe instaladores de software de sites desconhecidos ou suspeitos. -
Monitorar alterações no sistema
Use ferramentas de segurança para acompanhar alterações no registro e arquivos executáveis em diretórios críticos. -
Educação sobre phishing
Treine os usuários para identificar páginas de phishing e mensagens enganosas. -
Ferramentas de segurança atualizadas
Utilize antivírus e soluções de endpoint que detectem atividades maliciosas e comportamentos incomuns no sistema.
Conclusão
A campanha do PNGPlug e do ValleyRAT destaca a crescente sofisticação dos ataques cibernéticos. O uso de instaladores falsos e o disfarce de malware em aplicativos legítimos exigem uma abordagem proativa em segurança cibernética.
Com medidas preventivas e conscientização, é possível reduzir o impacto dessas ameaças. Além disso, compartilhar informações sobre campanhas como essa é essencial para fortalecer as defesas globais contra cibercriminosos.
Fonte e imagens: https://thehackernews.com/2025/01/pngplug-loader-delivers-valleyrat.html
