Campanha ValleyRAT e o Grupo SilverFox
Uma nova cepa de malware de acesso remoto está se movendo silenciosamente por redes corporativas, e não se comporta como nada que os defensores tenham visto antes deste grupo de ameaças. O malware, rastreado como ValleyRAT, é implantado por um grupo de hackers conhecido como SilverFox, e destaca-se por uma razão: ele não para em apenas uma carga útil. A maioria dos trojans de acesso remoto depende de dois ou três estágios para alcançar o controle total de uma máquina. ValleyRAT passa por oito.
Cada estágio esconde o próximo, e o último libera um rootkit de nível de kernel que recebe ordens diretas do próprio RAT. Essa camada não é apenas para mostrar. Torna o ValleyRAT muito mais difícil de detectar, analisar e remover do que um infostealer ou backdoor típico, o que explica por que esta campanha permaneceu ativa sem chamar atenção cedo.
Analistas da Gen Threat Labs identificaram a campanha enquanto rastreavam arquivos de instalador incomuns que continuavam se modificando para cada nova vítima. A campanha ainda está ativa no momento da escrita. Novas amostras continuam aparecendo, os caminhos de arquivo nas máquinas infectadas giram diariamente e o grupo parece estar refinando ativamente seus métodos de entrega.
Cadeia de Infeção em Oito Estágios
A infecção começa com DLL sideloading, onde um arquivo malicioso é contrabandeado junto com um aplicativo legítimo e assinado. Uma vez em execução, o malware desativa ferramentas de log e varredura antivírus antes de esconder sua próxima carga útil dentro dos dados de pixel de imagens PNG comuns.
Essa técnica de ocultação baseada em imagem, conhecida como esteganografia, se repete em vários pontos da cadeia. Após ganhar privilégios mais altos, o malware puxa outra carga útil de uma segunda imagem e depois descompacta shellcode usando um carregador chamado Donut, popular por executar código sem deixar rastros óbvios no disco.
O orquestrador ValleyRAT então assume e lança um RAT escrito na linguagem de programação Go. Este componente fala com seus servidores de comando e controle sobre conexões WebSocket e QUIC, escolhidas porque se misturam facilmente ao tráfego web normal.
O RAT injeta uma ferramenta construída para desativar software antivírus no svchost, um processo do Windows que raramente chama a atenção. Finalmente, um rootkit de kernel é instalado, suportando mais de 65 códigos de comando e recebendo instruções do RAT através de named pipes, um canal normalmente usado para comunicação de programa para programa.
Roubo de Dados e Persistência
Além de obter acesso, o ValleyRAT é construído para roubar. Ele monitora a área de transferência para endereços de carteira de criptomoedas e os substitui por aqueles controlados pelos atacantes, um truque que drenou fundos silenciosamente de usuários desavisados em campanhas passadas. O malware também visa dados do Telegram armazenados em máquinas infectadas, dando aos atacantes acesso a conversas privadas e detalhes de conta.
Plugins adicionais podem ser enviados para vítimas após a infecção, novamente entregues através de named pipes, permitindo que o SilverFox adapte sua caixa de ferramentas ao que um alvo vale. A persistência é tratada tão seriamente quanto o roubo. Pesquisadores observaram treze amostras polimórficas distintas recompiladas em uma janela de doze dias, cada uma ligeiramente diferente para desviar da detecção baseada em assinatura.
Os caminhos de arquivo giram diariamente sob uma pasta rotulada C:\Drivers, um pequeno detalhe que torna as regras de detecção estáticas menos confiáveis. A entrega depende de instaladores trojanizados que abusam de arquivos executáveis legítimos e assinados, ajudando o malware a passar despercebido por usuários e ferramentas que confiam em software assinado por padrão.
Indicadores de Comprometimento (IOCs)
Os IOCs incluem o hash SHA-256 520304a1cabdd9aa05c0a769c3874bc3cc2608d8e71ae607ca2bdf96b298b5de para o instalador trojanizado usado para iniciar a cadeia de infecção. Os domínios de comando e controle incluem 3w[.]jxuw3[.]com e df[.]sjickdeh[.]org, ambos endpoints WebSocket.
Organizações devem monitorar atividade incomum de named pipes, processos filhos inesperados sob svchost e instaladores que não correspondem a assinaturas conhecidas boas. A detecção de esteganografia em imagens de tráfego de rede também pode ser útil para identificar a propagação de carga útil.
Recomendações de Defesa
As organizações são encorajadas a monitorar atividade incomum de named pipes e processos filhos inesperados sob svchost. Implemente soluções de detecção que monitorem a execução de código a partir de imagens ou arquivos de dados. Revise as políticas de instalação de software para garantir que apenas executáveis de fontes confiáveis sejam executados.
A segmentação de rede e o princípio do menor privilégio são essenciais para limitar o impacto de um comprometimento. Monitore o tráfego de rede para conexões QUIC e WebSocket incomuns que possam indicar comunicação com C2. A atualização regular de assinaturas de antivírus e a adoção de soluções EDR são fundamentais para detectar comportamentos anômalos.
Conclusão
O caso é um lembrete de que o desenvolvimento de RATs avançou muito além de ferramentas de controle remoto simples. Os defensores agora devem levar em conta carregadores multiestágio, ocultação de carga útil baseada em imagem e rootkits que respondem diretamente ao malware executando no espaço de usuário. A vigilância contínua e a atualização das defesas são essenciais para mitigar o risco desta campanha ativa.