เว็บไซต์ปลอมที่อ้างว่าเป็น Google Chrome ถูกใช้เพื่อแจกจ่ายตัวติดตั้งมัลแวร์ชนิด Remote Access Trojan (RAT) ที่มีชื่อว่า ValleyRAT มัลแวร์นี้ถูกตรวจพบครั้งแรกในปี 2023 และเชื่อมโยงกับกลุ่มผู้คุกคามที่ใช้ชื่อว่า Silver Fox ซึ่งก่อนหน้านี้มีเป้าหมายหลักในภูมิภาคที่ใช้ภาษาจีน เช่น ฮ่องกง ไต้หวัน และจีนแผ่นดินใหญ่
การโจมตีล่าสุดนี้ใช้เทคนิค DLL Hijacking เพื่อแทรกซึมระบบ โดยอาศัยตัวติดตั้งปลอมที่ดาวน์โหลดมาจากเว็บไซต์ปลอมเหล่านี้ ตัวมัลแวร์สามารถบันทึกการกดแป้นพิมพ์ จับภาพหน้าจอ และสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลเพื่อรับคำสั่งเพิ่มเติม
ValleyRAT เป็นมัลแวร์ประเภท Trojan ที่ถูกพัฒนาขึ้นโดยใช้ภาษา C++ และคอมไพล์ในประเทศจีน มัลแวร์นี้ถูกออกแบบมาเพื่อสอดแนมข้อมูลผู้ใช้ โดยสามารถบันทึกการกดแป้นพิมพ์ จับภาพหน้าจอ และสร้างความต่อเนื่องในการทำงานบนระบบที่ติดเชื้อ นอกจากนี้ มันยังสามารถสื่อสารกับเซิร์ฟเวอร์ระยะไกลเพื่อรับคำสั่งเพิ่มเติม เช่น การดาวน์โหลดและเรียกใช้ไฟล์ DLL หรือไฟล์ปฏิบัติการอื่นๆ
การโจมตีล่าสุดนี้ใช้เว็บไซต์ปลอมที่เลียนแบบ Google Chrome เพื่อหลอกให้ผู้ใช้ดาวน์โหลดไฟล์ ZIP ที่มีไฟล์ปฏิบัติการปลอม (“Setup.exe”) ภายใน เมื่อผู้ใช้รันไฟล์นี้ ระบบจะตรวจสอบสิทธิ์ผู้ดูแลระบบและดาวน์โหลด payload เพิ่มเติม 4 ชนิด รวมถึงไฟล์ปฏิบัติการที่เกี่ยวข้องกับ Douyin (เวอร์ชันจีนของ TikTok) ซึ่งถูกใช้เพื่อโหลดไฟล์ DLL ที่เป็นอันตราย (“tier0.dll”) และเรียกใช้ ValleyRAT ในที่สุด
นอกจากนี้ ยังมีไฟล์ DLL อีกตัวหนึ่ง (“sscronet.dll”) ที่มีหน้าที่หยุดการทำงานของโปรเซสที่อยู่ในรายการยกเว้น (Exclusion List) เพื่อหลบเลี่ยงการตรวจจับจากซอฟต์แวร์ความปลอดภัย
แหล่งที่มา : The Hacker News
