Uma campanha direcionada está distribuindo um malware conhecido como ValleyRAT, que se destaca por suas táticas avançadas e capacidade de múltiplos estágios. Pesquisadores da Fortinet FortiGuard Labs explicaram que o ValleyRAT utiliza diversas técnicas para monitorar e controlar suas vítimas, além de implantar plugins arbitrários para causar danos adicionais.
Uma característica notável desse malware é o uso intensivo de shellcode para executar seus componentes diretamente na memória, o que reduz significativamente a presença de arquivos no sistema da vítima. Embora ainda não esteja claro como a versão mais recente do ValleyRAT é distribuída, campanhas anteriores utilizaram e-mails contendo URLs que apontavam para executáveis compactados.
O processo de ataque segue uma sequência de múltiplos estágios, começando com um loader que se passa por aplicativos legítimos, como o Microsoft Office, para parecer inofensivo. Ao executar o arquivo, um documento de isca é exibido e o shellcode é carregado, iniciando a próxima fase do ataque. O loader também verifica se não está sendo executado em uma máquina virtual, dificultando a detecção do malware.
O ValleyRAT, atribuído a um grupo de ameaças chamado Silver Fox, é um backdoor completo, capaz de controlar remotamente estações de trabalho comprometidas. Ele pode capturar screenshots, executar arquivos e carregar plugins adicionais no sistema da vítima. Os pesquisadores explicam que o malware envolve vários componentes carregados em diferentes estágios e utiliza principalmente shellcode para executá-los diretamente na memória, reduzindo significativamente os rastros deixados no sistema.