HONGKONG / TAIPEI / MÜNCHEN (IT BOLTWISE) – Eine neue Welle von Cyberangriffen hat chinesischsprachige Regionen ins Visier genommen. Im Mittelpunkt steht die Malware ValleyRAT, die durch den Einsatz des mehrstufigen Loaders PNGPlug verbreitet wird.
- Unsere KI-News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- KI-Meldungen bequem via Telegram oder per Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren und abonnieren!
- RSS-Feed 2.0 von IT Boltwise® für KI-News speichern!
Cybersecurity-Experten warnen vor einer Serie von Cyberangriffen, die sich gezielt gegen chinesischsprachige Regionen wie Hongkong, Taiwan und das chinesische Festland richten. Im Zentrum dieser Angriffe steht die bekannte Malware ValleyRAT, die durch einen mehrstufigen Loader namens PNGPlug verbreitet wird. Diese Angriffe nutzen gefälschte Software-Installer, um die Malware unbemerkt auf die Systeme der Opfer zu schleusen.
Der Infektionsprozess beginnt mit einer Phishing-Seite, die die Opfer dazu verleitet, ein bösartiges Microsoft Installer (MSI) Paket herunterzuladen, das als legitime Software getarnt ist. Nach der Ausführung installiert der Installer eine harmlose Anwendung, um keinen Verdacht zu erregen, während gleichzeitig ein verschlüsseltes Archiv mit der Malware extrahiert wird. Diese raffinierte Methode nutzt die CustomAction-Funktion des Windows Installers, um schädlichen Code auszuführen.
Besonders bemerkenswert ist die Verwendung eines eingebetteten bösartigen DLLs, das das Archiv mit dem Passwort ‘hello202411’ entschlüsselt, um die Kernkomponenten der Malware zu extrahieren. Dazu gehören eine schadhafte DLL (“libcef.dll”), eine legitime Anwendung (“down.exe”) als Tarnung und zwei Payload-Dateien, die als PNG-Bilder getarnt sind (“aut.png” und “view.png”).
Der Hauptzweck des DLL-Loaders PNGPlug besteht darin, die Umgebung für die Ausführung der Haupt-Malware vorzubereiten, indem “aut.png” und “view.png” in den Speicher injiziert werden. Dies ermöglicht es, durch Änderungen in der Windows-Registry Persistenz zu schaffen und ValleyRAT auszuführen. ValleyRAT, das seit 2023 in freier Wildbahn entdeckt wurde, ist ein Remote-Access-Trojaner (RAT), der Angreifern unbefugten Zugriff und Kontrolle über infizierte Maschinen ermöglicht.
Die jüngsten Versionen der Malware haben Funktionen zur Aufnahme von Screenshots und zum Löschen von Windows-Ereignisprotokollen integriert. Es wird angenommen, dass ValleyRAT mit einer Bedrohungsgruppe namens Silver Fox in Verbindung steht, die taktische Überschneidungen mit einem anderen Aktivitätscluster namens Void Arachne aufweist. Diese Verbindung wird durch die Nutzung eines Command-and-Control-Frameworks namens Winos 4.0 gestützt.
Die Kampagne ist einzigartig in ihrem Fokus auf die chinesischsprachige Bevölkerung und die Nutzung von softwarebezogenen Ködern, um die Angriffskette zu aktivieren. Besonders auffällig ist die raffinierte Nutzung legitimer Software als Verbreitungsmechanismus für Malware, die bösartige Aktivitäten nahtlos mit scheinbar harmlosen Anwendungen verbindet. Die Anpassungsfähigkeit des PNGPlug-Loaders erhöht die Bedrohung zusätzlich, da sein modulares Design eine Anpassung für mehrere Kampagnen ermöglicht.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Bitte vergiss nicht in deiner eMail die Artikel-Headline zu nennen: "Cyberangriffe auf chinesischsprachige Regionen: ValleyRAT im Fokus".
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Cyberangriffe auf chinesischsprachige Regionen: ValleyRAT im Fokus" für unsere Leser?
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Cyberangriffe auf chinesischsprachige Regionen: ValleyRAT im Fokus" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.