Злоумышленники снова играют на привычке пользователей скачивать рабочие программы в спешке. На этот раз приманкой стали поддельные страницы Microsoft Teams, которые выглядят как официальный сайт загрузки, но вместо безопасного установщика приводят на компьютер троян ValleyRAT.
По данным K7 Security Labs, атакующие используют домены teams-securecall[.]com и teamszs[.]com. Страницы копируют оформление сайта Microsoft Teams и предлагают скачать ZIP-архивы с троянизированными установщиками. После запуска в систему устанавливаются не только вредоносные компоненты, но и настоящая версия Microsoft Teams, а также создаётся ярлык на рабочем столе. Такой приём помогает скрыть заражение, потому что пользователь видит ожидаемую программу и может не заметить постороннюю активность.
Внутри цепочки заражения используется легитимный файл GameBox.exe от Tencent. Через него запускается вредоносная библиотека utility.dll. Такой метод известен как подмена DLL и позволяет вредоносному коду выглядеть частью доверенного приложения. Дополнительно программа меняет настройки Windows Defender через PowerShell, добавляя свои каталоги и файлы в исключения.
ValleyRAT копирует компоненты в ProgramData, скрывает файлы от пользователя и меняет реестр. Для закрепления в системе создаётся служба _CCGDAT, которая запускается вместе с Windows. Авторы отчёта также находят признаки, похожие на прежние операции ValleyRAT, включая артефакты на китайском языке. Техническая картина указывает на связь с активностью группы SilverFox APT.
Полезная нагрузка хранится в зашифрованном виде и расшифровывается прямо в памяти с помощью функций Windows. Затем код запускается без записи основного модуля на диск, что снижает шанс обнаружения обычными антивирусами. Следующие этапы применяют хеширование API и собственное XOR-шифрование при получении финального кода с командного сервера. Такой подход позволяет операторам быстро менять возможности вредоноса после заражения.
После развёртывания ValleyRAT следит за буфером обмена, перехватывает нажатия клавиш, собирает служебные логи и поддерживает постоянную связь с управляющей инфраструктурой по TCP. Через буфер обмена злоумышленники могут получить пароли, токены и адреса криптокошельков, если пользователь копирует такие данные во время работы.
В корпоративной среде привычный логотип и аккуратная страница загрузки больше не могут считаться признаком безопасности. Надёжная защита начинается с простой дисциплины: проверять источник установщика, ограничивать запуск неизвестных файлов и не полагаться на внешний вид сайта, даже когда речь идёт о знакомой рабочей программе.
