Hack Alerta

Campanha ValleyRat usa instaladores trojanizados de apps populares para persistência

Por Redação Hack Alerta Publicado em 02/12/2025 10:04 Cyber ataques Tempo de leitura: 3 min

Pesquisadores da Nextron Systems descreveram uma campanha do grupo Silver Fox que usa instaladores trojanizados de Telegram, WinSCP, Chrome e Teams para implantar o RAT ValleyRat. Amostra analisada (tg.exe) traz o hash SHA‑256 9ede6d... e a cadeia de ataque inclui criação de C:\ProgramData\WindowsData\ e tarefa agendada WindowsPowerShell.WbemScripting.SWbemLocator.

Pesquisadores da Nextron Systems detalharam uma campanha atribuída ao grupo Silver Fox que distribui instaladores trojanizados de aplicativos (Telegram, WinSCP, Google Chrome, Microsoft Teams) para implantar o RAT ValleyRat, com técnicas de elevação de persistência e evasão de endpoint.

Descoberta e atribuição

Nextron Systems publicou análise técnica da cadeia de ataque, atribuindo a operação ao cluster conhecido como Silver Fox, ativo desde pelo menos 2022. Os pesquisadores descrevem um fluxo de distribuição que inclui spear‑phishing e anúncios maliciosos apontando para instaladores falsificados.

Exemplo técnico e indicadores

  • Arquivo analisado: tg.exe, um instalador trojanizado com hash SHA‑256 9ede6da5986d8c0df3367c395b0b3924ffb12206939f33b01610c1ae955630d1.
  • Falsificação visual: o instalador exibe uma interface que imita o Telegram Desktop 6.0.2, mas o PE header tem timestamp de 2019 e a primeira submissão no VirusTotal data de agosto de 2025 — inconsistências apontadas pelos analistas.
  • Estrutura de implantação: o instalador cria C:\ProgramData\WindowsData\, deixa um binário renomeado funzip.exe (7‑Zip) e um arquivo main.xml (um arquivo ZIP criptografado na prática) que é extraído com senha incorporada no comando analisado.
  • Arquivos orquestradores: extração instala men.exe, que realiza reconnaissance local (procura por processos de segurança como MsMpEng.exe, ZhuDongFangYu.exe, 360tray.exe) e prepara o ambiente para a execução do beacon ValleyRat.
  • Persistência: criação de uma tarefa agendada chamada WindowsPowerShell.WbemScripting.SWbemLocator, que executa um VBScript codificado e lança o beacon.

Defesa e mitigação

A campanha combina kernel‑level drivers, tampering de endpoint e ofuscação para evitar detecção. As recomendações práticas listadas pelos pesquisadores incluem:

  • Bloquear instalação de binários não assinados ou provenientes de fontes não verificadas;
  • Monitoração de criação de tarefas agendadas suspeitas e diretórios atípicos em ProgramData;
  • Verificar listas de exclusão do Microsoft Defender (a campanha adiciona exclusões via PowerShell);
  • Implementar controles de integridade em imagens de instaladores e validar assinaturas digitais.

Impacto

ValleyRat é um RAT voltado para acesso persistente e exfiltração; a campanha demonstra combinação de engenharia social e técnicas técnicas para manter presença por longo prazo. O uso de instaladores falsificados de apps amplamente utilizados eleva o risco de comprometimento em ambientes corporativos e pessoais.

Limitações

A divulgação traz indicadores e um exemplo de amostra, mas não fornece uma contagem consolidada de vítimas. A atribuição ao Silver Fox é feita pela Nextron Systems com base em padrões e TTPs observados.

Fonte: Cyber Security News (Nextron Systems).
Baseado em publicação original de Cyber Security News
Tags: #valleyrat #silver-fox #trojanized-installers #telegram #winscp #rat #persistence #men.exe #scheduled-task
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar