ValleyRAT

Sitios falsos de Chrome distribuyen malware ValleyRAT

Sitios falsos de Google Chrome distribuyen el malware ValleyRAT mediante secuestro de DLL

Falsos sitios web que imitan a Google Chrome están siendo utilizados para distribuir instaladores maliciosos que propagan el troyano ValleyRAT. Este malware, detectado por primera vez en 2023, es atribuido a un grupo de ciberdelincuentes conocido como Silver Fox. Este grupo ha centrado sus ataques en regiones de habla china como Hong Kong, Taiwán y China continental.

Según investigadores de Morphisec, este grupo ha enfocado sus esfuerzos en puestos clave dentro de las organizaciones, especialmente en departamentos de finanzas, contabilidad y ventas, donde los empleados tienen acceso a datos y sistemas sensibles.

ValleyRAT

¿Cómo funciona el ataque?

Los atacantes utilizan sitios web falsos de Google Chrome para engañar a los usuarios y hacerles descargar un archivo ZIP que contiene un ejecutable malicioso llamado «Setup.exe». Este archivo, al ejecutarse, verifica si tiene privilegios de administrador y descarga varias cargas adicionales, incluyendo una DLL maliciosa llamada «tier0.dll», que instala el ValleyRAT.

El malware también utiliza un archivo legítimo asociado con Douyin (la versión china de TikTok) para cargar la DLL maliciosa, lo que le permite evadir las defensas de seguridad. Además, descarga otra DLL llamada «sscronet.dll», que termina procesos específicos en el sistema para evitar ser detectado.

Capacidades del ValleyRAT

Escrito en C++ y compilado en chino, el ValleyRAT es un troyano avanzado que puede:

  • Monitorear el contenido de la pantalla.
  • Registrar las pulsaciones de teclas (keylogging).
  • Establecer persistencia en el sistema infectado.
  • Comunicarse con servidores remotos para recibir instrucciones adicionales.
  • Descargar y ejecutar archivos DLL y binarios arbitrarios.

Consejos de protección

  • Verifica las descargas. Asegúrate de descargar software solo desde sitios web oficiales.
  • Usa herramientas de seguridad. Instala soluciones antivirus y antimalware actualizadas.
  • Evita ejecutar archivos sospechosos. No abras archivos ZIP o ejecutables de fuentes desconocidas.
  • Mantén tu sistema actualizado. Aplica parches de seguridad y actualizaciones del sistema operativo.

¿Por qué no considerar una alternativa?

Si estás utilizando Google Chrome, podrías evaluar la migración a alternativas como Firefox o Chromium (la versión de código abierto de Chrome). Estas opciones no solo son seguras, sino que también ofrecen mayor transparencia y control sobre tu privacidad. Además, al ser de código abierto, la comunidad puede auditar y mejorar continuamente su seguridad.