Virš Kinijos tvyro pavojingas šešėlis.
„FortiGuard Labs“ neseniai aptiko naują ValleyRAT kenkėjiškų programų kampaniją, nukreiptą į kinų kalbos vartotojus. Istoriškai ši programinė įranga atakavo e. prekybos, finansų, pardavimų ir valdymo sektorių įmones.
ValleyRAT yra daugiapakopė kenkėjiška programa, kuri naudoja įvairius metodus savo aukoms stebėti ir kontroliuoti, taip pat diegia papildomus priedus, kad padarytų daugiau žalos. Viena iš pagrindinių šios programinės įrangos ypatybių – aktyvus apvalkalo kodo naudojimas komponentams vykdyti tiesiogiai atmintyje, todėl gerokai sumažėja pėdsakų, kad ji yra sistemoje.
ValleyRAT naudoja teisėtų programų, pavyzdžiui, „Microsoft Office“, piktogramas ir su finansiniais dokumentais susijusių failų pavadinimus, kad užmaskuotų save. Dėl to naudotojams jis atrodo patikimesnis. Paleista programa sukuria tuščią failą ir atidaro jį „Microsoft Office“ dokumentų programoje, kad sukurtų teisėtumo įspūdį.
Įdiegusi ValleyRAT tikrina, ar ji veikia virtualioje mašinoje, ir, aptikusi virtualizacijos požymių, nustoja vykdyti programą. Be to, kenkėjiška programa naudoja hibernacijos metodus, kad apeitų aptikimo sistemas, todėl antivirusinėms programoms sunku ją aptikti.
Inicializacijos etape ValleyRAT į „Windows“ planavimo programą įtraukia užduotį, kad būtų užtikrintas automatinis jos vykdymas kiekvieną kartą, kai naudotojas prisijungia prie sistemos. Be to, jis pasinaudoja žinomomis teisėtų programų pažeidžiamomis vietomis, kad įgytų administratoriaus privilegijas nepranešęs naudotojui.
ValleyRAT veiksmingai apeina antivirusines sistemas, ypač Kinijos antivirusines sistemas, o tai dar kartą patvirtina, kad jis skirtas Kinijos naudotojams. Kenkėjiška programa sunaikina antivirusinių programų procesus, pakeičia jų nustatymus registre ir imasi papildomų priemonių, kad taptų nematoma.
Be to, ValleyRAT turi funkciją nuotoliniu būdu vykdyti komandas ir atsisiųsti papildomus komponentus iš komandų ir kontrolės serverio, todėl užpuolikai gali visiškai kontroliuoti užkrėstą sistemą.
Ši kenkėjiška programa gali vykdyti įvairias komandas, pavyzdžiui, stebėti naudotojo veiklą ir įdiegti papildomus kenkėjiškus modulius, todėl yra ypač pavojinga aukoms.
Bendrovė „Fortinet“ toliau stebi „ValleyRAT“ veiklą ir teikia atnaujinimus, kad apsaugotų savo klientus nuo šios grėsmės. Į „Fortinet“ antivirusinius sprendimus, tokius kaip „FortiGate“ ir „FortiMail“, jau įtraukti „ValleyRAT“ aptikimo ir blokavimo parašai.
Siekiant apsisaugoti nuo tokių grėsmių, rekomenduojama reguliariai atnaujinti antivirusinę programinę įrangą ir didinti naudotojų informuotumą apie galimas kibernetines grėsmes.