Betrügerische Microsoft-Teams-Downloads verbreiten ValleyRAT-Malware

Diese betrügerischen Seiten wurden offen auf der Plattform X verbreitet, was der Kampagne eine breite initiale Reichweite verschaffte. Besucher sehen einen scheinbar echten Download-Button, der sie dazu führt, eine ZIP-Archivdatei zu laden, die einen bewaffneten Installer enthält.

Forscher von K7 Security Labs, die diese Kampagne identifiziert und analysiert haben, stellten fest, dass das ausgelieferte Payload eine DLL-Sideloading-Kette über eine legitime Tencent-Executable namens GameBox.exe nutzt.

Die Analyse enthüllte Artefakte in chinesischer Sprache, die in den gefälschten Websites und den unterstützenden Protokolldaten eingebettet waren, was stark darauf hindeutet, dass die Bedrohungstätigkeit aus China stammt. Die Forscher verknüpften die Kampagne zudem mit der APT-Gruppe SilverFox.

Besonders gefährlich an dieser Kampagne ist, wie gut sie ihre wahren Absichten verschleiert. Sobald der Installer ausgeführt wird, legt er schleichend bösartige Komponenten im Hintergrund ab und installiert gleichzeitig eine echte Kopie Gerät des Opfers, wobei sogar eine Desktop-Verknüpfung platziert wird, um keine Alarmglocken zu läuten.

Killchain (Quelle – K7 Security Labs). Das Opfer geht davon, als habe es lediglich eine legitime App installiert, ohne zu ahnen, dass nun ein voll funktionsfähiger Trojaner auf seinem System läuft. K7 Security Labs erklärte in einem Bericht, der bei