Campanha ValleyRAT usa falso Foxit PDF para implantar trojan via DLL side‑loading | Riscos e Ameaças

Campanha ValleyRAT usa arquivos de recrutamento falsos e um executável que imita o Foxit PDF Reader para carregar msimg32.dll via DLL side‑loading; Trend Micro registrou pico de detecções em outubro e descreve a cadeia completa de execução e persistência.

Uma campanha observada por pesquisadores da Trend Micro, resumida em cobertura recente, explora a familiaridade dos candidatos a emprego com documentos de recrutamento para disseminar um Remote Access Trojan conhecido como ValleyRAT.

Vetor e mecanismo de infecção

Os atacantes enviam e-mails com anexos compactados (ZIP/RAR) cujo conteúdo parece material legítimo de contratação — nomes como "Overview_of_Work_Expectations.zip" ou "Candidate_Skills_Assessment_Test.rar" foram citados. Dentro dessas pastas há um executável disfarçado com o ícone do Foxit PDF Reader; ao ser executado, o mecanismo de carregamento de bibliotecas do Windows carrega uma DLL maliciosa (msimg32.dll) por meio de DLL side‑loading.

Execução e payload

Ao ser acionado, um script em lote (document.bat, conforme ilustrações na análise) extrai um ambiente Python oculto armazenado em arquivos com aparência inofensiva; o interpretador então baixa e executa um script malicioso com shellcode que implanta o ValleyRAT. O malware cria chaves de registro para persistência e pode monitorar atividade do usuário, exfiltrar credenciais de navegadores e controlar remotamente a máquina.

Por que funciona

A campanha combina engenharia social (alvos emocionalmente vulneráveis durante busca de emprego), estruturas de pastas falsas e técnicas de evasão (arquivos compactados com senha para impedir varredura por antivírus). A Trend Micro relatou um pico de detecções do ValleyRAT no final de outubro, indicando atividade operacional significativa.

Alvos e alcance

Os alvos primários são candidatos e equipes de RH, embora a campanha esteja evoluindo para alcançar audiências mais amplas. O ataque focaliza a extração de senhas e credenciais salvas em navegadores, o que constitui um risco direto para segurança financeira e identidade.

Mitigações técnicas e práticas recomendadas

As práticas levantadas pela análise incluem cautela com anexos de recrutamento, verificação de executáveis que se passam por leitores de PDF e controles de execução de aplicações (application allowlisting). Detecção de DLL side‑loading e análise de comportamento em sandbox continuam sendo controles relevantes, além de políticas que desestimulem execução de binários a partir de arquivos recebidos por e-mail.

Limites e observações

A cobertura se baseia na investigação da Trend Micro, que documentou a cadeia de ataque (incluindo nomes de arquivos e DLLs). Ela não vincula a campanha a um ator específico com atribuição definitiva; os detalhes apresentados descrevem a cadeia de execução e técnicas usadas.