Campania de malware Silver Fox Valley RAT
Un actor amenințător care operează sub numele Silver Fox a lansat o operațiune elaborată sub steag fals, menită să-și deghizeze activitatea ca fiind cea a unui grup rusesc. Campania se concentrează pe utilizatorii vorbitori de chineză, inclusiv angajați ai organizațiilor occidentale cu prezență în China, și se bazează în mare măsură pe manipularea motoarelor de căutare și pe instalarea contrafăcută a Microsoft Teams pentru a livra un troian de acces la distanță binecunoscut.
Cuprins
Deghizat în actor rus
Activitatea recentă a Silver Fox se învârte în jurul unei încercări strategice de a induce în eroare analiștii prin imitarea grupurilor de amenințări rusești. Pentru a întări această iluzie, atacatorii încorporează elemente chirilice în componente ValleyRAT modificate și chiar împachetează fișiere rău intenționate cu convenții de denumire în stil rusesc. Această denaturare intenționată complică atribuirea, permițând în același timp grupului să urmărească obiective motivate financiar și geopolitic.
Intoxicație SEO și momeli cu tematică Teams
Din noiembrie 2025, Silver Fox derulează o campanie de otrăvire a optimizării pentru motoarele de căutare (SEO), concepută pentru a atrage victimele care caută Microsoft Teams. Spre deosebire de operațiunile anterioare care au abuzat de instrumente precum Chrome, Telegram, WPS Office și DeepSeek, acest val se concentrează exclusiv pe Teams.
Rezultatele căutării compromise direcționează utilizatorii către un site web fraudulos care se prezintă drept o pagină legitimă de descărcare Teams. În loc de software autentic, victimele primesc o arhivă ZIP numită „MSTчamsSetup.zip” găzduită pe Alibaba Cloud. Caracterele chirilice din numele fișierului întăresc narațiunea falsă.
Instalator troianizat și implementare ascunsă
În fișierul ZIP se află Setup.exe, un program de instalare Teams modificat, conceput pentru a iniția o compromitere în mai multe etape. La executare, efectuează verificări ale mediului, scanează fișierele binare asociate cu un anumit instrument de securitate și modifică setările Microsoft Defender prin adăugarea de reguli de excludere. De asemenea, plasează un program de instalare Microsoft manipulat - „Verifier.exe” - în directorul AppData\Local al utilizatorului și îl lansează pentru a menține fluxul de infectare.
Malware-ul continuă prin generarea mai multor fișiere auxiliare în AppData\Local și AppData\Roaming. Apoi încarcă date de configurare din aceste fișiere și injectează un DLL malițios în rundll32.exe, o componentă Windows de încredere, permițând malware-ului să se integreze perfect cu procesele legitime.
Activarea ValleyRAT (Winos 4.0)
Etapa finală are ca rezultat implementarea ValleyRAT, un derivat al Gh0st RAT. Odată activ, acesta permite executarea de la distanță a comenzilor, supravegherea persistentă, furtul de date și controlul complet al sistemului. Deși variantele Gh0st RAT sunt atribuite în mod obișnuit grupurilor infracționale cibernetice chineze, includerea de elemente rusești de către Silver Fox încearcă să redirecționeze vina.
Obiective finale și impact
Operațiunile Silver Fox servesc atât scopurilor financiare, cât și celor de colectare de informații. Grupul urmărește profitul prin fraudă, escrocherii și furt, colectând în același timp informații sensibile care pot oferi un avantaj geopolitic. Victimele se confruntă cu consecințe imediate:
- Furtul de date și expunerea informațiilor confidențiale.
- Pierderi financiare cauzate de fraudă sau activități neautorizate.
- Compromiterea pe termen lung a sistemelor și rețelelor interne.
De ce contează acest steag fals
Imitând un grup de amenințări străin, Silver Fox își menține o negare plauzibilă și operează fără controlul îndreptat de obicei asupra entităților sponsorizate de stat. Această strategie sofisticată de evitare a atacurilor, combinată cu un lanț de infecții în continuă evoluție, subliniază necesitatea unei vigilențe sporite, a unei apărări consolidate a terminalelor și a unei monitorizări continue, în special pentru organizațiile care operează în regiuni frecvent vizate de amenințări cibernetice complexe.
