Поддельные сайты Microsoft Teams распространяют троян ValleyRAT: новая кампания кибершпионажа

Жертвами могут стать любые сотрудники компаний, которые привыкли скачивать Teams из поисковой выдачи. Злоумышленники использовали домены, похожие на официальный адрес: например, teams‑securecall[.]com и teamszs[.]com. При переходе на такой сайт посетителю предлагают загрузить архив с именами вроде 98653.2.87.teamsx.zip или 571.0.2.6.8.97teamsxb.zip. Внутри архива находится установщик на базе NSIS - популярной системы создания инсталляторов. Однако вместо стандартной установки запускается скрытое развёртывание вредоносных компонентов.

Исследователи обнаружили, что установщик помещает в систему несколько файлов. Среди них есть настоящий установщик Microsoft Teams, что помогает не вызывать подозрений, а также полезная нагрузка - вредоносная DLL‑библиотека и специальный загрузчик. Ключевой элемент начального этапа - легитимный исполняемый файл GameBox.exe, разработанный компанией Tencent. Злоумышленники используют технику подмены DLL, известную как DLL sideloading. GameBox.exe загружает библиотеку utility.dll, в которой уже содержится вредоносный код. Этот метод позволяет обойти проверки безопасности, доверяющие подписанному приложению.

После запуска троян ослабляет защиту системы. Он выполняет несколько команд PowerShell, чтобы добавить в исключения антивируса Windows Defender рабочий каталог и саму вредоносную DLL. Таким образом, файлы и активность угрозы остаются незамеченными. Помимо этого, злоумышленники меняют атрибуты скопированных в папку ProgramData компонентов, делая их скрытыми. Обычный пользователь не увидит подозрительных папок без включённого показа скрытых файлов.

Эта кампания примечательна тем, что использует программу-троян ValleyRAT - класс инструментов для удалённого доступа. ValleyRAT известен благодаря своей модульной архитектуре и продвинутым техникам обхода. В новой версии, судя по анализу, конфигурационные данные хранятся в реестре Windows по путям, характерным для группировки SilverFox APT. Хотя часть записей забита нулями, общий шаблон поведения и структура подтверждают связь с этой кибергруппировкой, которую многие эксперты относят к китайским источникам.

Установка закрепления в системе происходит через создание службы с именем _CCGDAT. Она запускается автоматически при старте Windows. Это гарантирует, что троян будет активен даже после перезагрузки компьютера. Полезная нагрузка, в свою очередь, распространяется в зашифрованном виде. Первичный шеллкод хранится в файле user.dat, защищённом алгоритмом AES. Во время выполнения вредоносная программа расшифровывает его в оперативной памяти, используя вызов BcryptDecrypt. Затем загрузчик выделяет память в текущем процессе и внедряет туда расшифрованный код, запуская его через CreateThread.

Второй и третий этапы атаки содержат ещё больше усложнений. Загрузчик и финальный модуль ValleyRAT применяют технику хеширования API. Вместо того чтобы хранить имена системных функций в открытом виде, они вычисляют хеши и сравнивают их с экспортируемыми функциями загруженных библиотек. Это затрудняет статический анализ антивирусами. Третья стадия получается с командного сервера уже в памяти. Для её расшифровки используется простой XOR, после чего в освобождённом буфере появляется полноценный исполняемый файл Portable Executable. Далее применяется рефлексивная загрузка - модуль вызывается без записи на диск.

Функциональные возможности ValleyRAT в этой кампании включают кражу содержимого буфера обмена. Троян периодически опрашивает буфер через API GetClipboardData. Это позволяет перехватывать скопированные пароли, криптовалютные адреса и другие конфиденциальные данные. Кроме того, ведётся локальное логирование: нажатия клавиш, содержимое буфера, статус выполнения. Логи сохраняются в файлах, а затем передаются на командный сервер через TCP-соединения. Анализ трафика показал, что троян не только получает инструкции, но и отправляет собранную информацию.

Данная угроза отличается чистотой исполнения: социальная инженерия сочетается с многоступенчатой доставкой, шифрованием в памяти и скрытыми механизмами закрепления. Использование подложных сайтов Microsoft Teams делает атаку привлекательной для широкого круга жертв - от рядовых сотрудников до ИТ-администраторов. Основная рекомендация для специалистов - обращать внимание на URL-адреса загрузок, проверять цифровые подписи установщиков и следить за активностью PowerShell. Компаниям стоит усилить мониторинг обращений к подозрительным доменам и блокировать выполнение установщиков из непроверенных источников. В конечном счёте, эта кампания подчёркивает, что злоумышленники продолжают совершенствовать свои методы, делая упор на легитимные приложения и поведенческую маскировку.

IPv4

• 103.215.77.17

MD5

• 18f3e85d7237e3cac0ad13bdcf513f0f
• 709604ce58e3f8255587ac9253db6994
• 8f9de887e9aed9d580f386ba2d191319