PNGPlug e malware ValleyRAT

PNGPlug Loader e ValleyRAT: malware disfarçado em instaladores falsos de software

Pesquisadores de segurança cibernética alertaram para uma série de ataques direcionados a regiões de língua chinesa, como Hong Kong, Taiwan e China continental. Esses ataques utilizam um malware conhecido como ValleyRAT, entregue por meio de um loader sofisticado chamado PNGPlug.

O objetivo principal dos invasores é comprometer sistemas usando instaladores de software falsos e uma cadeia de ataque bem estruturada, que disfarça atividades maliciosas sob a aparência de aplicativos legítimos.

 

Como funciona a cadeia de infecção do PNGPlug?

O ataque começa com uma página de phishing projetada para convencer as vítimas a baixar um instalador malicioso do Microsoft Installer (MSI).

Etapas do ataque

  • Download do instalador malicioso
    O usuário é levado a baixar um arquivo MSI que parece ser um programa legítimo.

  • Execução do instalador
    Quando executado, o instalador:

    • Implanta um aplicativo legítimo para evitar suspeitas.
    • Extrai, de forma silenciosa, um arquivo compactado criptografado que contém os componentes do malware.
  • Descompactação do arquivo malicioso
    Usando a funcionalidade CustomAction do Windows Installer, o instalador executa um DLL malicioso que:

    • Descriptografa o arquivo compactado usando uma senha hardcoded (“hello202411”).
    • Extrai os seguintes componentes:
      • libcef.dll (DLL malicioso).
      • down.exe (aplicativo legítimo para disfarçar as atividades).
      • aut.png e view.png (arquivos maliciosos disfarçados como imagens PNG).
  • Execução do malware

    • O PNGPlug prepara o ambiente para execução do malware principal.
    • Ele injeta os arquivos aut.png e view.png na memória para alterar o registro do Windows e configurar persistência.
    • Em seguida, ativa o ValleyRAT, que é o trojan responsável por permitir o controle remoto do sistema infectado.

 

O que é o ValleyRAT?

O ValleyRAT é um trojan de acesso remoto (RAT) projetado para fornecer controle total sobre sistemas infectados. Ele tem sido amplamente usado desde 2023 e, nas versões mais recentes, incorporou funcionalidades como:

  • Captura de telas das máquinas infectadas.
  • Exclusão de logs de eventos do Windows para evitar detecção.

O malware está associado a um grupo chamado Silver Fox, que utiliza um framework de comando e controle (C&C) chamado Winos 4.0.

 

Características únicas da campanha

A campanha tem características marcantes que a diferenciam de outros ataques:

  • Foco na comunidade de língua chinesa
    Os atacantes utilizam iscas relacionadas a softwares populares e relevantes para usuários chineses, aumentando a chance de infecção.

  • Uso de software legítimo
    O malware é habilmente disfarçado em aplicativos legítimos, tornando sua detecção mais desafiadora.

  • Flexibilidade do PNGPlug
    A modularidade do PNGPlug permite que ele seja adaptado para diferentes campanhas, tornando-o um vetor de ataque altamente versátil.

 

 

 

Exemplo de script para análise de atividades suspeitas

Usuários e analistas de segurança podem monitorar atividades anômalas no sistema com scripts como o abaixo, que verifica mudanças recentes no registro do Windows e localiza DLLs não reconhecidas:

 

# Verificar alterações no Registro do Windows relacionadas a persistência
Get-ItemProperty -Path “HKCU:\Software\Microsoft\Windows\CurrentVersion\Run” | ForEach-Object {
         Write-Host “Chave: $($_.PSChildName) | Valor: $($_.PSObject.Properties.Value)”
}

# Localizar DLLs suspeitas carregadas na memória
Get-Process | ForEach-Object {
         $dlls = $_.Modules | Where-Object { $_.FileName -like “*.dll” -and $_.FileName -match “Temp|AppData” }
         if ($dlls) {
             Write-Host “Processo: $($_.ProcessName) | DLL Suspeita: $($dlls.FileName)”
}
}

 

Como proteger-se contra ataques semelhantes?

  • Evitar downloads de fontes não confiáveis
    Nunca baixe instaladores de software de sites desconhecidos ou suspeitos.

  • Monitorar alterações no sistema
    Use ferramentas de segurança para acompanhar alterações no registro e arquivos executáveis em diretórios críticos.

  • Educação sobre phishing
    Treine os usuários para identificar páginas de phishing e mensagens enganosas.

  • Ferramentas de segurança atualizadas
    Utilize antivírus e soluções de endpoint que detectem atividades maliciosas e comportamentos incomuns no sistema.

 

Conclusão

A campanha do PNGPlug e do ValleyRAT destaca a crescente sofisticação dos ataques cibernéticos. O uso de instaladores falsos e o disfarce de malware em aplicativos legítimos exigem uma abordagem proativa em segurança cibernética.

Com medidas preventivas e conscientização, é possível reduzir o impacto dessas ameaças. Além disso, compartilhar informações sobre campanhas como essa é essencial para fortalecer as defesas globais contra cibercriminosos.

 

Fonte e imagens: https://thehackernews.com/2025/01/pngplug-loader-delivers-valleyrat.html