Le persone che parlano cinese sono state sempre più prese di mira in numerose campagne di phishing via email che mirano a distribuire diverse famiglie di malware come Sainbox RAT, Purple Fox e un nuovo trojan chiamato ValleyRAT. “Le campagne includono esche in lingua cinese e malware tipicamente associati all’attività cybercriminale cinese”, ha dichiarato la società di sicurezza aziendale Proofpoint in un rapporto condiviso con The Hacker News. Ecco i dettagli di queste campagne.
Un aumento dell’attività malware in lingua cinese
L’attività, osservata da inizio 2023, comporta l’invio di messaggi email contenenti URL che puntano a eseguibili compressi responsabili dell’installazione del malware. Altre catene di infezione sono state trovate ad utilizzare allegati Microsoft Excel e PDF che incorporano questi URL per innescare attività malevole. Queste campagne dimostrano variazioni nell’uso dell’infrastruttura, nei domini del mittente, nel contenuto delle email, nel targeting e nei payload, indicando che diversi gruppi di minacce stanno montando gli attacchi.
Oltre 30 campagne rilevate nel 2023
Sono state rilevate oltre 30 campagne nel 2023 che impiegano malware tipicamente associati all’attività cybercriminale cinese. Da aprile 2023, non meno di 20 di queste campagne avrebbero distribuito Sainbox, una variante del trojan Gh0st RAT noto anche come FatalRAT. Proofpoint ha identificato almeno altre tre campagne che distribuiscono il malware Purple Fox e sei campagne aggiuntive che propagano una nuova variante di malware chiamata ValleyRAT, iniziata il 21 marzo 2023.
Caratteristiche del nuovo trojan ValleyRAT
ValleyRAT, documentato per la prima volta dalla società di cybersecurity cinese Qi An Xin nel febbraio 2023, è scritto in C++ e ospita funzionalità tradizionalmente viste nei trojan di accesso remoto, come il recupero e l’esecuzione di payload aggiuntivi (DLL e binari) inviati da un server remoto e l’enumerazione dei processi in esecuzione, tra gli altri. Mentre Gh0st RAT è stato ampiamente utilizzato in varie campagne cyber collegate alla Cina negli anni, l’emergere di ValleyRAT suggerisce che potrebbe essere ampiamente distribuito in futuro.
“L’aumento dell’attività malware in lingua cinese indica un’espansione dell’ecosistema di malware cinese, sia attraverso una maggiore disponibilità o facilità di accesso ai payload e alle liste di obiettivi, sia attraverso un’attività potenzialmente aumentata da parte degli operatori di cybercriminalità di lingua cinese”, ha dichiarato la società.