Cyberangriffe auf chinesischsprachige Regionen: ValleyRAT im Fokus

HONGKONG / TAIPEI / MÜNCHEN (IT BOLTWISE) – Eine neue Welle von Cyberangriffen hat chinesischsprachige Regionen ins Visier genommen. Im Mittelpunkt steht die Malware ValleyRAT, die durch den Einsatz des mehrstufigen Loaders PNGPlug verbreitet wird.

Cybersecurity-Experten warnen vor einer Serie von Cyberangriffen, die sich gezielt gegen chinesischsprachige Regionen wie Hongkong, Taiwan und das chinesische Festland richten. Im Zentrum dieser Angriffe steht die bekannte Malware ValleyRAT, die durch einen mehrstufigen Loader namens PNGPlug verbreitet wird. Diese Angriffe nutzen gefälschte Software-Installer, um die Malware unbemerkt auf die Systeme der Opfer zu schleusen.

Der Infektionsprozess beginnt mit einer Phishing-Seite, die die Opfer dazu verleitet, ein bösartiges Microsoft Installer (MSI) Paket herunterzuladen, das als legitime Software getarnt ist. Nach der Ausführung installiert der Installer eine harmlose Anwendung, um keinen Verdacht zu erregen, während gleichzeitig ein verschlüsseltes Archiv mit der Malware extrahiert wird. Diese raffinierte Methode nutzt die CustomAction-Funktion des Windows Installers, um schädlichen Code auszuführen.

Besonders bemerkenswert ist die Verwendung eines eingebetteten bösartigen DLLs, das das Archiv mit dem Passwort ‘hello202411’ entschlüsselt, um die Kernkomponenten der Malware zu extrahieren. Dazu gehören eine schadhafte DLL (“libcef.dll”), eine legitime Anwendung (“down.exe”) als Tarnung und zwei Payload-Dateien, die als PNG-Bilder getarnt sind (“aut.png” und “view.png”).

Der Hauptzweck des DLL-Loaders PNGPlug besteht darin, die Umgebung für die Ausführung der Haupt-Malware vorzubereiten, indem “aut.png” und “view.png” in den Speicher injiziert werden. Dies ermöglicht es, durch Änderungen in der Windows-Registry Persistenz zu schaffen und ValleyRAT auszuführen. ValleyRAT, das seit 2023 in freier Wildbahn entdeckt wurde, ist ein Remote-Access-Trojaner (RAT), der Angreifern unbefugten Zugriff und Kontrolle über infizierte Maschinen ermöglicht.

Die jüngsten Versionen der Malware haben Funktionen zur Aufnahme von Screenshots und zum Löschen von Windows-Ereignisprotokollen integriert. Es wird angenommen, dass ValleyRAT mit einer Bedrohungsgruppe namens Silver Fox in Verbindung steht, die taktische Überschneidungen mit einem anderen Aktivitätscluster namens Void Arachne aufweist. Diese Verbindung wird durch die Nutzung eines Command-and-Control-Frameworks namens Winos 4.0 gestützt.

Die Kampagne ist einzigartig in ihrem Fokus auf die chinesischsprachige Bevölkerung und die Nutzung von softwarebezogenen Ködern, um die Angriffskette zu aktivieren. Besonders auffällig ist die raffinierte Nutzung legitimer Software als Verbreitungsmechanismus für Malware, die bösartige Aktivitäten nahtlos mit scheinbar harmlosen Anwendungen verbindet. Die Anpassungsfähigkeit des PNGPlug-Loaders erhöht die Bedrohung zusätzlich, da sein modulares Design eine Anpassung für mehrere Kampagnen ermöglicht.

Bestseller Nr. 1 ᵃ⤻ᶻ «KI Gadgets»

Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie

30,99 EUR

Bestseller Nr. 2 ᵃ⤻ᶻ «KI Gadgets»

Mobvoi TicNote KI Digitales Diktiergerät, 64 GB Speicher, Notizrekorder mit Hülle, App-Steuerung, über 100 Sprachen, Transkribieren, Zusammenfassen mit AI Shadow,digitaler Audiorekorder Sprachrekorder

169,99 EUR

Bestseller Nr. 3 ᵃ⤻ᶻ «KI Gadgets»

Plaud Note KI Digitales Diktiergerät mit Hülle - 64 GB Aufnahmegerät mit KI-Technologie zum Transkribieren und Zusammenfassen, One-Touch-Aufnahme, Rauschunterdrückung, Unterstützt 112 Sprachen

152,91 EUR

Bestseller Nr. 4 ᵃ⤻ᶻ «KI Gadgets»

KI-Sprachrekorder, Plaud NotePin Sprachrekorder, App-Steuerung, KI-Notizgerät, KI-Transkription & Zusammenfassung, 112 Sprachen, 64GB Speicher, Audiorekorder für Vorlesungen, Meetings, Kosmisches Grau

152,91 EUR

Bestseller Nr. 5 ᵃ⤻ᶻ «KI Gadgets»

SOXOI KI Digitales Diktiergerät, 64GB Magnet Mini Aufnahmegerä mit ChatGPT 4o vom Transkribieren und Zusammenfassen für 102 Sprachen,One Touch Aufnahme, Voice Recorder Sprachrecorder (Schwarz)

64,59 EUR

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!