کمیته رکن چهارم – گروه سایبری Silver Fox در جدیدترین عملیات خود کاربران هندی را هدف قرار داده و با استفاده از ایمیلهای فیشینگ با مضمون مالیات، اقدام به توزیع بدافزار ValleyRAT کرده است. این بدافزار یک ابزار کنترل از راه دور با قابلیتهای ماژولار است که پیشتر برای اهداف جاسوسی و سرقت اطلاعات در کشورهای آسیایی استفاده شده بود.
به گزارش کمیته رکن چهارم، در این حمله، فایل جعلی PDF با هویت اداره مالیات هند برای کاربران ارسال شده و پس از بارگذاری فایل فشرده، نصبکنندهای با استفاده از تکنیک DLL Hijacking، فایل DLL مخربی را اجرا میکند. این بدافزار با استفاده از بارگذار Donut و ضدتحلیلهای مختلف، فایل اجرایی ValleyRAT را بهصورت مخفی در حافظه فرآیند explorer.exe تزریق میکند.
بدافزار ValleyRAT میتواند پس از اتصال به سرور فرماندهی، اقدام به کیلاگ، سرقت رمزها و بقا در سیستم آلوده از طریق رجیستری و Scheduled Tasks کند. طبق گزارشها، گروه Silver Fox از دامنههایی مانند ssl3.space برای نظارت بر کمپینهای توزیع بدافزار و کلیکهای کاربران استفاده کرده است. این گروه همچنین از هویت جعلی برنامههای محبوب مانند Teams، Telegram و WPS Office برای فریب کاربران استفاده میکند.
تحقیقات نشان میدهد قربانیان اصلی این عملیات کاربران چینیزبان هستند، اما کاربران در دیگر کشورها نیز مورد هدف قرار گرفتهاند. در برخی موارد، این گروه حتی تلاش کرده است با جعل هویت حمله، منبع آن را به گروههای روسی نسبت دهد تا شناسایی واقعی دشوار شود.
محققان توصیه میکنند کاربران از باز کردن فایلهای ناشناس خودداری کرده، نرمافزارهای امنیتی خود را بهروز نگه دارند و نسبت به منابع رسمی بارگیری برنامهها دقت بیشتری داشته باشند.
