Fushata kundër Malware-it Silver Fox ValleyRAT
Një aktor kërcënimi që vepron nën emrin Silver Fox ka nisur një operacion të hollësishëm me flamur të rremë, i projektuar për të maskuar aktivitetin e tij si atë të një grupi rus. Fushata përqendrohet te përdoruesit që flasin kinezisht, përfshirë punonjësit e organizatave perëndimore me prani në Kinë, dhe mbështetet shumë në manipulimin e motorëve të kërkimit dhe instaluesit e falsifikuar të Microsoft Teams për të ofruar një trojan të njohur me akses në distancë.
Tabela e Përmbajtjes
I maskuar si aktor rus
Aktiviteti i fundit i Silver Fox sillet rreth një përpjekjeje strategjike për të mashtruar analistët duke imituar grupet kërcënuese ruse. Për të përforcuar këtë iluzion, sulmuesit ngulisin elementë cirilikë në komponentët e modifikuar të ValleyRAT dhe madje paketojnë skedarë keqdashës me konventa emërtimi në stilin rus. Ky keqdrejtim i qëllimshëm e ndërlikon atribuimin, ndërsa i lejon grupit të ndjekë objektiva të motivuara financiarisht dhe gjeopolitikisht.
Helmimi SEO dhe karremët me temë ekipesh
Që nga nëntori i vitit 2025, Silver Fox ka drejtuar një fushatë helmuese të optimizimit të motorëve të kërkimit (SEO) të përshtatur për të joshur viktimat që kërkojnë Microsoft Teams. Ndryshe nga operacionet e mëparshme që abuzuan me mjete të tilla si Chrome, Telegram, WPS Office dhe DeepSeek, kjo valë përqendrohet vetëm te Teams.
Rezultatet e kompromentuara të kërkimit i drejtojnë përdoruesit në një faqe interneti mashtruese që paraqitet si një faqe shkarkimi legjitime e Teams. Në vend të softuerit të vërtetë, viktimat marrin një arkiv ZIP të quajtur 'MSTчаmsSetup.zip' të vendosur në Alibaba Cloud. Karakteret cirilike në emrin e skedarit e forcojnë narrativën e flamurit të rremë.
Instalues i Trojanizuar dhe Vendosje e Fshehtë
Brenda skedarit ZIP ndodhet Setup.exe, një instalues i modifikuar i Teams, i projektuar për të filluar një kompromis shumëfazor. Pas ekzekutimit, ai kryen kontrolle të mjedisit, skanon për skedarë binare të lidhur me një mjet specifik sigurie dhe ndërhyn në cilësimet e Microsoft Defender duke shtuar rregulla përjashtimi. Gjithashtu, ai vendos një instalues të manipuluar të Microsoft - 'Verifier.exe', në direktorinë AppData\Local të përdoruesit dhe e nis atë për të ruajtur rrjedhën e infeksionit.
Malware vazhdon duke gjeneruar disa skedarë ndihmës në AppData\Local dhe AppData\Roaming. Pastaj ngarkon të dhënat e konfigurimit nga këto skedarë dhe injekton një DLL keqdashëse në rundll32.exe, një komponent i besueshëm i Windows, duke lejuar që malware të përzihet pa probleme me proceset legjitime.
Aktivizimi i ValleyRAT (Winos 4.0)
Faza përfundimtare rezulton në vendosjen e ValleyRAT, një derivat i Gh0st RAT. Pasi aktivizohet, ai mundëson ekzekutimin në distancë të komandave, mbikëqyrjen e vazhdueshme, vjedhjen e të dhënave dhe kontrollin e plotë të sistemit. Edhe pse variantet e Gh0st RAT zakonisht i atribuohen grupeve kineze të krimit kibernetik, përfshirja e elementëve rusë nga Silver Fox përpiqet të ridrejtojë fajin.
Qëllimet përfundimtare dhe ndikimi
Operacionet e Silver Fox shërbejnë si për qëllime financiare ashtu edhe për mbledhjen e inteligjencës. Grupi ndjek fitimin përmes mashtrimit, dredhive dhe vjedhjes, ndërkohë që mbledh edhe informacione të ndjeshme që mund të ofrojnë ndikim gjeopolitik. Viktimat përballen me pasoja të menjëhershme:
- Vjedhja e të dhënave dhe ekspozimi ndaj informacionit konfidencial.
- Humbje financiare nga mashtrimi ose aktiviteti i paautorizuar.
- Kompromentim afatgjatë i sistemeve dhe rrjeteve të brendshme.
Pse ka rëndësi ky flamur i rremë
Duke imituar një grup kërcënimesh të huaja, Silver Fox ruan mohueshmërinë e besueshme dhe vepron pa shqyrtimin që zakonisht drejtohet ndaj subjekteve të sponsorizuara nga shteti. Kjo strategji e sofistikuar e shmangies, e kombinuar me një zinxhir infeksioni në zhvillim, nënvizon nevojën për vigjilencë të shtuar, mbrojtje të përforcuara të pikave fundore dhe monitorim të vazhdueshëm, veçanërisht për organizatat që operojnë në rajone që shpesh synohen nga kërcënime komplekse kibernetike.
