Опасный троян ValleyRAT атакует соискателей через фальшивые предложения работы

Эксперты по кибербезопасности из Trend Micro обнаружили новую масштабную кампанию, в рамках которой злоумышленники распространяют удалённый троян ValleyRAT (Remote Access Trojan - «троян удалённого доступа»), эксплуатируя уязвимость поведения соискателей работы. Атака отличается многослойным подходом, сочетающим социальную инженерию, подмену легитимного ПО и сложную цепочку выполнения вредоносного кода.

Описание

Кампания нацелена в первую очередь на людей, активно ищущих новую работу. Злоумышленники рассылают письма с вложениями, которые маскируются под документы отдела кадров: формы заявок, обзоры обязанностей или тестовые задания. Имена файлов, такие как "Overview_of_Work_Expectations.zip" или "Candidate_Skills_Assessment_Test.rar", составлены на английском языке, что указывает на расширение целевой аудитории по сравнению с предыдущими атаками, ориентированными на китайскоязычных пользователей.

Эмоциональное напряжение и желание быстро откликнуться на вакансию заставляет пользователей меньше scrutinize (проверять) вложения. Внутри архивов находится исполняемый файл, замаскированный под установщик популярного PDF-ридера Foxit. Например, файл "Compensation_Benefits_Commission.exe" использует логотип Foxit, чтобы обмануть бдительность жертвы. При запуске он открывает поддельный PDF-документ с описанием вакансии, отвлекая внимание, в то время как на заднем плане запускается вредоносная нагрузка (payload).

Ключевой техникой атаки является DLL side-loading («подгрузка DLL»). Вредоносный архив содержит переименованный легитимный "FoxitPDFReader.exe" и специально подготовленную библиотеку "msimg32.dll". Используя механизм поиска библиотек Windows, легитимное приложение загружает вредоносную DLL, что позволяет выполнить код без прямого запуска подозрительного исполняемого файла.

Далее атака усложняется. В архиве скрыта сложная структура вложенных папок, названных символами подчёркивания. В ней находятся файлы "document.bat", "document.docx" и "document.pdf". Файл "document.docx" на самом деле является упакованным исполняемым файлом архиватора 7-Zip. Пакетный скрипт использует его для извлечения скрытой внутри PDF-файла портативной среды Python. Этот подход гарантирует работу скрипта даже на системах, где Python не установлен.

После извлечения "document.bat" запускает Python-скрипт, который выступает в роли загрузчика shellcode (низкоуровневого исполняемого кода). Скрипт загружает из сети закодированную строку base64, декодирует её в шеллкод и выполняет его в памяти. Этот шеллкод, в свою очередь, развёртывает основной модуль трояна ValleyRAT. Для обеспечения устойчивости (persistence) в системе троян создаёт запись в реестре для автозапуска.

Получив контроль над системой, ValleyRAT подключается к управляющему серверу (C&C, Command and Control) по IP-адресу "196[.]251[.]86[.]145". Троян способен красть конфиденциальные данные, в частности логины, пароли и историю из браузеров жертвы. Анализ сетевого трафика показал использование самоподписанного SSL-сертификата с случайным именем и крайне длительным сроком действия - типичные признаки автоматически сгенерированных сертификатов в конструкторах RAT, таких как AsyncRAT.

По данным телеметрии Trend Micro, активность ValleyRAT резко возросла в конце октября, что свидетельствует об успешности данной многоступенчатой схемы. Атака демонстрирует, как киберпреступники эффективно комбинируют проверенные методы: фишинговые приманки, злоупотребление доверием к легитимному ПО, обфускацию (запутывание) файловой структуры и сложные цепочки выполнения.

Специалисты рекомендуют проявлять повышенную осторожность при получении писем с вложениями от неизвестных отправителей, даже если тема связана с поиском работы. Следует обращать внимание на расширения файлов: документ, заявленный как PDF, не должен иметь расширение ".exe". Компаниям, особенно в отделах HR, необходимо проводить обучение сотрудников по кибергигиене. Для противодействия подобным угрозам эффективны решения, способные обнаруживать сложные цепочки атак, такие как DLL side-loading, и анализировать поведение процессов. Trend Micro сообщает, что её платформа Trend Vision One детектирует и блокирует индикаторы компрометации (IoC, Indicators of Compromise), связанные с этой кампанией.