Các trang web giả mạo Google Chrome đang được sử dụng để phát tán trojan truy cập từ xa (RAT) có tên ValleyRAT. Loại malware này chủ yếu nhắm vào người dùng nói tiếng Trung tại Hong Kong, Đài Loan và Trung Quốc đại lục. Nhóm này tập trung tấn công các vị trí có quyền truy cập dữ liệu quan trọng như tài chính, kế toán và kinh doanh.
Chiến dịch tấn công mới nhất sử dụng một trang web giả mạo để lừa nạn nhân tải về một tệp ZIP chứa trình cài đặt độc hại “Setup.exe”. Khi được chạy, tệp này kiểm tra quyền admin trước khi tải xuống bốn payload, trong đó có một tệp thực thi hợp pháp của Douyin (“Douyin.exe”) để kích hoạt DLL độc hại (“tier0.dll”), từ đó triển khai ValleyRAT. Một DLL khác (“sscronet.dll”) được sử dụng để chấm dứt các tiến trình có trong danh sách loại trừ của malware.
ValleyRAT được viết bằng C++, có khả năng theo dõi màn hình, ghi lại thao tác bàn phím và duy trì hoạt động trên hệ thống bị nhiễm. Nó có thể kết nối với máy chủ từ xa để nhận lệnh, thực thi tệp nhị phân và tải thêm malware khác. Kẻ tấn công đã lợi dụng kỹ thuật DLL hijacking bằng cách sử dụng các tệp thực thi hợp pháp nhưng dễ bị khai thác.
Bên cạnh ValleyRAT, các chiến dịch phishing gần đây còn sử dụng tệp đính kèm SVG để tránh bị phát hiện, phát tán keylogger AutoIt hoặc dụ người dùng truy cập các trang đánh cắp thông tin đăng nhập.
