Pesquisadores rastrearam uma campanha que usa o backdoor ValleyRAT_S2 como carga‑final para infiltrações prolongadas com foco em roubo de credenciais e dados financeiros. A análise técnica descreve vetores de entrega, mecanismos de persistência e comportamentos de rede identificados.
Descoberta e escopo
Relatório disponível no Cyber Security News identifica ValleyRAT_S2 como o estágio dois (second‑stage) de uma família de malware escrita em C++. A campanha investigada espalha o código através de ferramentas de produtividade em chinês falsificadas, software pirata e instaladores trojanizados que se passam por geradores de planilhas com IA.
Vetor e funcionamento
- Entrega: DLL side‑loading (bibliotecas nomeadas como steam_api64.dll), anexos de spearphishing e canais de atualização de software abusados.
- Atividades: descoberta de sistema, roubo de credenciais, coleta de dados financeiros, upload/download de arquivos, execução de comandos shell, injeção de payloads e captura de teclas.
- Comando e controle: conexões para servidores hardcoded, por exemplo 27.124.3.175:14852, usando protocolo TCP customizado.
Persistência e mecanismos de resiliência
O ValleyRAT_S2 emprega uma arquitetura de persistência em múltiplas camadas, começando por staging em %TEMP% e %APPDATA% (ex.: %APPDATA%\Promotions\Temp.aps) e a criação de arquivos como %TEMP%\target.pid. Observou‑se abuso do Agendador de Tarefas do Windows via API COM e uso de chaves de execução no registro como caminhos de backup.
Watchdog e recuperação
Uma característica destacada é o uso de um script batch gerado (monitor.bat) que funciona como watchdog: lê o PID armazenado em target.pid, verifica se o processo principal está ativo e reinicia silenciosamente caso seja necessário. Trechos de script publicados ilustram o loop de verificação e reinício.
"O loop permite que ValleyRAT_S2 recupere se ferramentas de segurança ou administradores finalizarem o processo principal."
Evidências operacionais e limitações
Os pesquisadores citam processos alvos de injeção com nomes trocados por executáveis legitimamente nomeados (por exemplo Telegra.exe, WhatsApp.exe) e destacam técnicas anti‑sandbox e tratamento estruturado de exceções que reforçam furtividade. A análise indica que o estágio inicial foca em evasão, enquanto ValleyRAT_S2 fornece controle de longo prazo para exfiltração.
O relatório não informa número de vítimas, setores mais afetados ou presença específica no Brasil — esses dados não foram divulgados nas fontes consultadas.
Recomendações técnicas para defensores
Segundo a matéria, a simples finalização do processo não é suficiente. A remoção completa exige ação coordenada sobre:
- tarefas agendadas criadas pelo malware;
- scripts watchdog (monitor.bat, watch.vbs) e arquivos staged em %TEMP% e %APPDATA%;
- limpeza de entradas de inicialização no registro;
- bloqueio de domínios/IPs de C2 identificados e análise de tráfego para protocolos TCP customizados.
Implicações
O perfil do malware — capaz de roubar credenciais e dados financeiros e de persistir via mecanismos resistentes a cancelamento manual — o torna uma ameaça relevante para organizações com ativos financeiros sensíveis. Defesas recomendadas incluem EDR com detecção de injeção e persistência, regras de filtração de anexos e bloqueio de binários trojanizados, além de procedimentos de resposta que considerem a remoção de artefatos auxiliares além do processo principal.
Fonte: Cyber Security News (autor: Tushar Subhra Dutta). Informações técnicas extraídas do relatório publicado; número de incidentes e impacto geográfico não foram informados.