Silver Fox користи лажен инсталатер на Microsoft Teams за да шири ValleyRAT малициозен софтвер во Кина

Заканувачкиот актер познат како Silver Fox е забележан како оркестрира операција со лажно знаме за да имитира руска заканувачка група во напади насочени кон организации во Кина.

Кампањата за труење на оптимизацијата на пребарувачите (SEO) користи мамки од Microsoft Teams за да ги измами несомнените корисници да преземат злонамерна датотека за поставување која води до распоредување на ValleyRAT (Winos 4.0), познат малициозен софтвер поврзан со кинеската група за кибер-криминал. Активноста е во тек од ноември 2025 година.

„Оваа кампања е насочена кон корисници што зборуваат кинески, вклучително и оние во западните организации кои работат во Кина, користејќи изменет ‘ValleyRAT’ вчитувач што содржи кирилични елементи – веројатно намерно дејство за да се доведе во заблуда атрибуцијата“, рече истражувачот на ReliaQuest, Хејден Еванс, во извештај споделен со The Hacker News.

ValleyRAT, варијанта на Gh0st RAT, им овозможува на напаѓачите далечински да ги контролираат заразените системи, да екфилтрираат чувствителни податоци, да извршуваат произволни команди и да одржуваат долгорочна упорност во таргетираните мрежи. Вреди да се напомене дека употребата на Gh0st RAT првенствено им се припишува на кинеските хакерски групи.

Употребата на Teams за кампањата за труење на SEO означува отстапување од претходните напори кои користеа други популарни програми како Google Chrome, Telegram, WPS Office и DeepSeek за активирање на ланецот на инфекција.

SEO кампањата е наменета да ги пренасочи корисниците на лажна веб-страница која нуди опција за преземање на наводниот софтвер Teams. Во реалноста, ZIP-датотека со име “MSTчamsSetup.zip” се презема од URL на Alibaba Cloud. Архивата користи руски лингвистички елементи за да ги збуни напорите за атрибуција.

Присутна во датотеката е “Setup.exe,” тројанизирана верзија на Teams која е дизајнирана да ги скенира тековните процеси за бинарни датотеки поврзани со 360 Total Security (“360tray.exe”), да конфигурира исклучувања на Microsoft Defender Antivirus и да ја запише тројанизираната верзија на инсталатерот на Microsoft (“Verifier.exe”) во патеката “AppData\Local” и да ја изврши.

Малициозниот софтвер продолжува да запишува дополнителни датотеки, вклучувајќи ги “AppData\Local\Profiler.json,” “AppData\Roaming\Embarcadero\GPUCache2.xml,” “AppData\Roaming\Embarcadero\GPUCache.xml,” и “AppData\Roaming\Embarcadero\AutoRecoverDat.dll.”

Во следниот чекор, тој вчитува податоци од “Profiler.json” и “GPUcache.xml” и ја стартува малициозната DLL во меморијата на “rundll32.exe,” легитимен Windows процес, за да остане неприметен. Нападот преминува во завршна фаза со малициозен софтвер кој воспоставува врска со надворешен сервер за да ја преземе конечната програма за да овозможи далечинско управување.

„Целите на Silver Fox вклучуваат финансиска добивка преку кражба, измами и финансиски криминал, заедно со собирање чувствителни разузнавачки информации за геополитичка предност“, рече ReliaQuest. „Целите се соочуваат со непосредни ризици како што се прекршувања на податоци, финансиски загуби и компромитирани системи, додека Silver Fox одржува веродостојно негирање, овозможувајќи му дискретно да работи без директно владино финансирање.

Ова обелоденување доаѓа откако Nextron Systems истакна уште еден ланец на напади со ValleyRAT што користи тројанизиран инсталатер на Telegram како почетна точка за да започне повеќестепен процес што на крајот го доставува тројанецот. Овој напад е исто така значаен по користењето на техниката Bring Your Own Vulnerable Driver (BYOVD) за вчитување на “NSecKrnl64.sys” и прекинување на процесите на безбедносни решенија.

„Овој инсталатер поставува опасно исклучување на Microsoft Defender, поставува архива заштитена со лозинка заедно со преименувана бинарна датотека на 7-Zip, а потоа извлекува извршна датотека од втората фаза“, рече истражувачот за безбедност Морис Филенбах.

„Тој оркестратор од втората фаза, men.exe, распоредува дополнителни компоненти во папка под јавниот кориснички профил, ги манипулира дозволите за датотеки за да се спротивстави на чистењето и поставува упорност преку закажана задача која извршува кодирана VBE скрипта. Оваа скрипта, пак, го стартува вчитувачот на ранлив драјвер и потпишана бинарна датотека што ја странично вчитува ValleyRAT DLL.“

Men.exe е одговорен и за набројување на активните процеси (enumerating running processes) со цел да се идентификуваат процесите поврзани со безбедноста на крајната точка (endpoint security), како и за вчитување на ранливиот драјвер „NSecKrnl64.sys“ со користење на „NVIDIA.exe“ и извршување на ValleyRAT. Понатаму, една од клучните компоненти што ја испушта бинарната датотека на оркестраторот е „bypass.exe“, која овозможува подигање на привилегиите (privilege escalation) преку заобиколување на Контролата на кориснички сметки (User Account Control – UAC).

„На површина, жртвите гледаат нормален инсталатер“, рече Филенбах. „Во позадина, малициозниот софтвер подготвува датотеки, поставува драјвери, попречува со заштитните механизми и на крајот лансира светилник (beacon) на ValleyRat кој одржува долгорочен пристап до системот.“

Извори:

• The Hacker News – Silver Fox Uses Fake Microsoft Teams Installer to Spread ValleyRAT Malware in China The Hacker News