Οι ερευνητές κυβερνοασφάλειας εντόπισαν νέα εκστρατεία κακόβουλου λογισμικού που εκμεταλλεύεται το VLC media player για να εγκαταστήσει το ValleyRAT, ένα remote access trojan που δίνει στους επιτιθέμενους πλήρη έλεγχο μολυσμένων υπολογιστών. Η τακτική βασίζεται στη χρήση ενός νόμιμου εκτελέσιμου αρχείου του VLC μαζί με μια τροποποιημένη βιβλιοθήκη libvlc.dll, η οποία περιέχει τον κακόβουλο κώδικα.
Η επίθεση ξεκινά με ένα φαινομενικά αθώο email, το οποίο παρουσιάζει θέματα όπως μετακινήσεις προσωπικού ή αλλαγές μισθοδοσίας. Το μήνυμα περιλαμβάνει σύνδεσμο που οδηγεί σε αρχείο ZIP, το οποίο ο χρήστης καλείται να κατεβάσει και να ανοίξει.
Η αλυσίδα μόλυνσης
Μέσα στο αρχείο ZIP υπάρχουν δύο βασικά στοιχεία: ένα εκτελέσιμο αρχείο που μιμείται το VLC και μια DLL με το όνομα libvlc.dll. Το εκτελέσιμο μοιάζει απολύτως νόμιμο, καθώς φέρει χαρακτηριστικά πραγματικής έκδοσης του VLC, γεγονός που δυσκολεύει την ανίχνευσή του από τα συστήματα ασφαλείας.
Όταν ο χρήστης εκτελέσει το πρόγραμμα, ενεργοποιείται τεχνική DLL sideloading. Το σύστημα των Windows φορτώνει αυτόματα τη βιβλιοθήκη libvlc.dll, θεωρώντας την απαραίτητο εξάρτημα του προγράμματος. Στην πραγματικότητα όμως, η βιβλιοθήκη αυτή περιέχει τον κακόβουλο κώδικα που ξεκινά την επίθεση.
Μόλις ενεργοποιηθεί, το κακόβουλο DLL αντιγράφει τα αρχεία σε κρυφό φάκελο του συστήματος και δημιουργεί εγγραφές στο μητρώο ώστε να διασφαλίσει ότι θα εκτελείται κάθε φορά που ο υπολογιστής επανεκκινείται.
Τεχνικές απόκρυψης και αποφυγής ανίχνευσης
Το ValleyRAT χρησιμοποιεί προηγμένες τεχνικές αποφυγής ανίχνευσης. Πριν εκτελέσει οποιαδήποτε ενέργεια, ελέγχει αν βρίσκεται σε εικονικό περιβάλλον, μετρά τους πυρήνες του επεξεργαστή και παρακολουθεί τη συμπεριφορά χρονισμού του συστήματος. Αν εντοπίσει ενδείξεις ανάλυσης, διακόπτει τη λειτουργία του ώστε να αποφύγει την αποκάλυψη.
Επιπλέον, ο κώδικας περιέχει μεγάλα τμήματα άχρηστων συναρτήσεων που έχουν στόχο να δυσκολέψουν την αντίστροφη μηχανική από ερευνητές ασφαλείας.
Fileless επίθεση και εκτέλεση στη μνήμη
Ιδιαίτερα επικίνδυνη είναι η μέθοδος εκτέλεσης του τελικού payload. Το ValleyRAT αποκρυπτογραφείται απευθείας στη μνήμη με χρήση RC4 κρυπτογράφησης και στη συνέχεια εγχέεται σε ανενεργή διεργασία του συστήματος.
Αυτό σημαίνει ότι δεν αφήνει εύκολα ανιχνεύσιμα αρχεία στον δίσκο, γεγονός που καθιστά τις παραδοσιακές μεθόδους antivirus λιγότερο αποτελεσματικές.
Στόχοι και εξέλιξη της απειλής
Η καμπάνια φαίνεται να στοχεύει κυρίως χρήστες που χρησιμοποιούν κινεζόφωνες και ιαπωνόφωνες εκδόσεις email, όμως οι ειδικοί προειδοποιούν ότι η τεχνική μπορεί να επεκταθεί παγκοσμίως.
Το ValleyRAT είναι ενεργό από το 2023, αλλά η δραστηριότητά του έχει αυξηθεί σημαντικά τα τελευταία χρόνια, δείχνοντας συνεχή εξέλιξη των μεθόδων του.
Αντιμετώπιση και προειδοποιήσεις
Οι ερευνητές προτείνουν την ανίχνευση ύποπτης συμπεριφοράς αντί για απλή σάρωση αρχείων. Σημάδια όπως απρόσμενη φόρτωση DLL, ασυμβατότητα αρχείων και εκτελέσιμα που προέρχονται από ύποπτα email θα πρέπει να θεωρούνται κόκκινες σημαίες.
Σε περίπτωση μόλυνσης, συνιστάται απομόνωση του συστήματος από το δίκτυο και λεπτομερής έλεγχος των ενεργειών του επιτιθέμενου. Σε σοβαρές περιπτώσεις, μπορεί να απαιτηθεί πλήρης επανεγκατάσταση του λειτουργικού συστήματος.
Η συγκεκριμένη επίθεση δείχνει ότι η εμπιστοσύνη σε γνωστά ονόματα λογισμικού μπορεί να χρησιμοποιηθεί ως όπλο από κυβερνοεγκληματίες, καθιστώντας την επαγρύπνηση και την ανάλυση συμπεριφοράς πιο σημαντική από ποτέ.