Pesquisadores de segurança cibernética identificaram que sites fraudulentos promovendo o navegador Google Chrome estão sendo utilizados para disseminar instaladores maliciosos do trojan de acesso remoto ValleyRAT. Atribuído ao grupo de ameaças Silver Fox, o ValleyRAT tem como alvo profissionais das áreas de finanças, contabilidade e vendas, visando posições estratégicas com acesso a dados sensíveis.

Os atacantes criam sites falsos do Google Chrome para induzir as vítimas a baixarem um arquivo ZIP contendo um executável denominado “Setup.exe”. Ao ser executado, esse arquivo baixa payloads adicionais, incluindo um executável legítimo associado ao Douyin, a versão chinesa do TikTok, que é utilizado para carregar uma DLL maliciosa, iniciando assim o ValleyRAT.

Desenvolvido em C++ e com instruções em chinês, o ValleyRAT é projetado para monitorar o conteúdo da tela, registrar teclas digitadas e estabelecer persistência no sistema infectado. Ele também pode se comunicar com um servidor remoto para receber instruções adicionais, permitindo enumerar processos, além de baixar e executar DLLs e binários arbitrários. Este desenvolvimento destaca a necessidade contínua de vigilância e práticas de segurança cibernética robustas para proteger indivíduos e organizações contra ameaças emergentes.