Phần mềm độc hại này được phát hiện lần đầu tiên vào năm 2023 và được cho là do một tác nhân đe dọa có tên Silver Fox gây ra, với các chiến dịch tấn công trước đó chủ yếu nhắm vào các khu vực người Hoa như Hồng Kông, Đài Loan và Trung Quốc đại lục.
Nhà nghiên cứu Shmuel Uzan của hãng bảo mật Morphisec (Israel) cho biết: "Kẻ tấn công này ngày càng nhắm vào các vị trí quan trọng trong các tổ chức, đặc biệt là bộ phận tài chính, kế toán và bán hàng, nhấn mạnh vào trọng tâm chiến lược là các vị trí có giá trị cao với quyền truy cập vào dữ liệu và hệ thống nhạy cảm”.
Các chuỗi tấn công ban đầu đã được quan sát thấy đã phát tán ValleyRAT cùng với các dòng phần mềm độc hại khác như Purple Fox và Gh0st RAT, trong đó Gh0st RAT đã được nhiều nhóm tin tặc Trung Quốc sử dụng và khai thác rộng rãi.
Chỉ tính riêng tháng 01/2025, các trình cài đặt giả mạo đối với phần mềm hợp pháp đã đóng vai trò là cơ chế trung gian để phân phối trojan thông qua DLL loader có tên là PNGPlug.
Điều đáng chú ý là một chương trình tải xuống nhắm vào người dùng Windows nói tiếng Trung Quốc trước đây đã được sử dụng để triển khai Gh0st RAT bằng các gói cài đặt độc hại cho trình duyệt web Chrome.
Tương tự như vậy, chuỗi tấn công mới nhất liên quan đến ValleyRAT bao gồm việc sử dụng một trang web Google Chrome giả mạo để đánh lừa nạn nhân tải xuống tệp ZIP có chứa tệp thực thi (Setup[.]exe).
Michael Gorelik, Giám đốc công nghệ của Morphisec, chia sẻ rằng có bằng chứng cho thấy có sự liên quan giữa hai nhóm hoạt động này và trang web cài đặt Chrome lừa đảo trước đây đã bị lợi dụng để tải xuống phần mềm Gh0st RAT.
Gorelik cho biết: “Chiến dịch này đặc biệt nhắm vào người dùng nói tiếng Trung Quốc, thể hiện qua việc sử dụng các trang web và ứng dụng ngôn ngữ Trung Quốc nhằm đánh cắp dữ liệu và né tránh phát hiện của các giải pháp bảo mật”.
Các liên kết đến các trang web Chrome giả mạo chủ yếu được phân phối thông qua các chương trình tải xuống tự động. Người dùng tìm kiếm trình duyệt Chrome sẽ được chuyển hướng đến các trang web độc hại này, nơi họ vô tình tải xuống trình cài đặt giả mạo. Phương pháp này khai thác lòng tin của người dùng vào các bản tải xuống phần mềm hợp pháp, khiến họ dễ bị lây nhiễm mã độc.
Khi thực thi, tệp nhị phân thiết lập sẽ kiểm tra xem nó có quyền quản trị viên hay không và sau đó tiến hành tải xuống 04 phần mềm bổ sung, bao gồm một tệp thực thi hợp pháp liên quan đến Douyin (Douyin[.]exe) – một phiên bản tiếng Trung của TikTok, được sử dụng để tải một DLL độc hại (tier0[.]dll), sau đó khởi chạy mã độc ValleyRAT.
Ngoài ra còn có một tệp DLL khác (sscronet[.]dll) có chức năng chấm dứt bất kỳ tiến trình nào đang chạy có trong danh sách loại trừ.
Được biên dịch bằng tiếng Trung và viết bằng ngôn ngữ C++, ValleyRAT là một trojan được thiết kế để theo dõi nội dung màn hình, ghi lại các lần thao tác bàn phím và thiết lập tính bền bỉ trên máy chủ.
Bên cạnh đó, phần mềm độc hại này cũng có khả năng khởi tạo giao tiếp với máy chủ điều khiển và ra lệnh (C2) để chờ các hướng dẫn tiếp theo, cho phép nó liệt kê các tiến trình, cũng như tải xuống và thực thi các tệp DLL cũng như tệp nhị phân tùy ý.
Uzan cho biết: “Để chèn dữ liệu, kẻ tấn công đã lợi dụng các tệp thực thi đã ký số hợp lệ, sử dụng kỹ thuật DLL Search Oder Hijacking”.
Sự phát triển này diễn ra khi công ty an ninh mạng Sophos (Mỹ) chia sẻ thông tin chi tiết về các cuộc tấn công lừa đảo sử dụng tệp đính kèm Scalable Vector Graphics (SVG) để tránh bị phát hiện và phát tán phần mềm độc hại ghi lại thao tác phím dựa trên AutoIt như Nymeria hoặc hướng người dùng đến các trang thu thập thông tin đăng nhập. |