{"id":21627,"date":"2025-01-27T22:16:16","date_gmt":"2025-01-28T01:16:16","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=21627"},"modified":"2025-01-27T22:16:17","modified_gmt":"2025-01-28T01:16:17","slug":"pngplug-e-malware-valleyrat","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/01\/exploits\/pngplug-e-malware-valleyrat\/","title":{"rendered":"PNGPlug e malware ValleyRAT"},"content":{"rendered":"\n<p><strong>PNGPlug Loader e ValleyRAT: malware disfar\u00e7ado em instaladores falsos de software<\/strong><\/p>\n<p style=\"text-align: justify;\">Pesquisadores de seguran\u00e7a cibern\u00e9tica alertaram para uma s\u00e9rie de ataques direcionados a regi\u00f5es de l\u00edngua chinesa, como Hong Kong, Taiwan e China continental. Esses ataques utilizam um malware conhecido como <strong>ValleyRAT<\/strong>, entregue por meio de um loader sofisticado chamado <strong>PNGPlug<\/strong>.<\/p>\n<p style=\"text-align: justify;\">O objetivo principal dos invasores \u00e9 comprometer sistemas usando instaladores de software falsos e uma cadeia de ataque bem estruturada, que disfar\u00e7a atividades maliciosas sob a apar\u00eancia de aplicativos leg\u00edtimos.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Como funciona a cadeia de infec\u00e7\u00e3o do PNGPlug?<\/strong><\/p>\n<p style=\"text-align: justify;\">O ataque come\u00e7a com uma p\u00e1gina de phishing projetada para convencer as v\u00edtimas a baixar um instalador malicioso do Microsoft Installer (MSI).<\/p>\n<p><strong>Etapas do ataque<\/strong><\/p>\n<ul>\n<li>\n<p><strong>Download do instalador malicioso<\/strong><br \/>O usu\u00e1rio \u00e9 levado a baixar um arquivo MSI que parece ser um programa leg\u00edtimo.<\/p>\n<\/li>\n<li>\n<p><strong>Execu\u00e7\u00e3o do instalador<\/strong><br \/>Quando executado, o instalador:<\/p>\n<ul>\n<li>Implanta um aplicativo leg\u00edtimo para evitar suspeitas.<\/li>\n<li style=\"text-align: justify;\">Extrai, de forma silenciosa, um arquivo compactado criptografado que cont\u00e9m os componentes do malware.<\/li>\n<\/ul>\n<\/li>\n<li>\n<p style=\"text-align: justify;\"><strong>Descompacta\u00e7\u00e3o do arquivo malicioso<\/strong><br \/>Usando a funcionalidade <strong>CustomAction<\/strong> do Windows Installer, o instalador executa um <strong>DLL malicioso<\/strong> que:<\/p>\n<ul>\n<li>Descriptografa o arquivo compactado usando uma senha hardcoded (\u201chello202411\u201d).<\/li>\n<li>Extrai os seguintes componentes:\n<ul>\n<li><strong>libcef.dll<\/strong> (DLL malicioso).<\/li>\n<li><strong>down.exe<\/strong> (aplicativo leg\u00edtimo para disfar\u00e7ar as atividades).<\/li>\n<li><strong>aut.png<\/strong> e <strong>view.png<\/strong> (arquivos maliciosos disfar\u00e7ados como imagens PNG).<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Execu\u00e7\u00e3o do malware<\/strong><\/p>\n<ul>\n<li>O PNGPlug prepara o ambiente para execu\u00e7\u00e3o do malware principal.<\/li>\n<li>Ele injeta os arquivos <strong>aut.png<\/strong> e <strong>view.png<\/strong> na mem\u00f3ria para alterar o registro do Windows e configurar persist\u00eancia.<\/li>\n<li>Em seguida, ativa o <strong>ValleyRAT<\/strong>, que \u00e9 o trojan respons\u00e1vel por permitir o controle remoto do sistema infectado.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>O que \u00e9 o ValleyRAT?<\/strong><\/p>\n<p style=\"text-align: justify;\">O <strong>ValleyRAT<\/strong> \u00e9 um trojan de acesso remoto (RAT) projetado para fornecer controle total sobre sistemas infectados. Ele tem sido amplamente usado desde 2023 e, nas vers\u00f5es mais recentes, incorporou funcionalidades como:<\/p>\n<ul>\n<li>Captura de telas das m\u00e1quinas infectadas.<\/li>\n<li>Exclus\u00e3o de logs de eventos do Windows para evitar detec\u00e7\u00e3o.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">O malware est\u00e1 associado a um grupo chamado <strong>Silver Fox<\/strong>, que utiliza um framework de comando e controle (C&amp;C) chamado <strong>Winos 4.0<\/strong>.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Caracter\u00edsticas \u00fanicas da campanha<\/strong><\/p>\n<p>A campanha tem caracter\u00edsticas marcantes que a diferenciam de outros ataques:<\/p>\n<ul>\n<li>\n<p style=\"text-align: justify;\"><strong>Foco na comunidade de l\u00edngua chinesa<\/strong><br \/>Os atacantes utilizam iscas relacionadas a softwares populares e relevantes para usu\u00e1rios chineses, aumentando a chance de infec\u00e7\u00e3o.<\/p>\n<\/li>\n<li>\n<p style=\"text-align: justify;\"><strong>Uso de software leg\u00edtimo<\/strong><br \/>O malware \u00e9 habilmente disfar\u00e7ado em aplicativos leg\u00edtimos, tornando sua detec\u00e7\u00e3o mais desafiadora.<\/p>\n<\/li>\n<li>\n<p style=\"text-align: justify;\"><strong>Flexibilidade do PNGPlug<\/strong><br \/>A modularidade do PNGPlug permite que ele seja adaptado para diferentes campanhas, tornando-o um vetor de ataque altamente vers\u00e1til.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEg4bJJQ_T5s5aakPPr5ueu25sBDGR-NcUWnAHCs4nF9z9flaEvSU7fgAI4Me9ZkJmH-7AT1lHkS_tIwvF9187mP4nMWWgrezOqA5kqXfNwNuTP0vFWVTnCvYcozkPa6wH8YWh96qtp1Zo3NGp58HHVTXn0GmRTjT8StTlajz5q4OsJUi4JSNccQpdKTu920\/s728-rw-e365\/map-file.png\" width=\"628\" height=\"328\" \/><\/p>\n<p style=\"text-align: center;\">\u00a0<\/p>\n<p><strong>Exemplo de script para an\u00e1lise de atividades suspeitas<\/strong><\/p>\n<p style=\"text-align: justify;\">Usu\u00e1rios e analistas de seguran\u00e7a podem monitorar atividades an\u00f4malas no sistema com scripts como o abaixo, que verifica mudan\u00e7as recentes no registro do Windows e localiza DLLs n\u00e3o reconhecidas:<\/p>\n<p>\u00a0<\/p>\n<p><strong># Verificar altera\u00e7\u00f5es no Registro do Windows relacionadas a persist\u00eancia<\/strong><br \/><strong>Get-ItemProperty -Path &#8220;HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Run&#8221; | ForEach-Object {<\/strong><br \/><strong>\u00a0 \u00a0 \u00a0 \u00a0 \u00a0Write-Host &#8220;Chave: $($_.PSChildName) | Valor: $($_.PSObject.Properties.Value)&#8221;<\/strong><br \/><strong>}<\/strong><\/p>\n<p><strong># Localizar DLLs suspeitas carregadas na mem\u00f3ria<\/strong><br \/><strong>Get-Process | ForEach-Object {<\/strong><br \/><strong>\u00a0 \u00a0 \u00a0 \u00a0 \u00a0$dlls = $_.Modules | Where-Object { $_.FileName -like &#8220;*.dll&#8221; -and $_.FileName -match &#8220;Temp|AppData&#8221; }<\/strong><br \/><strong>\u00a0 \u00a0 \u00a0 \u00a0 \u00a0if ($dlls) {<\/strong><br \/><strong>\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0Write-Host &#8220;Processo: $($_.ProcessName) | DLL Suspeita: $($dlls.FileName)&#8221;<\/strong><br \/><strong>}<\/strong><br \/><strong>}<\/strong><\/p>\n<p>\u00a0<\/p>\n<p><strong>Como proteger-se contra ataques semelhantes?<\/strong><\/p>\n<ul>\n<li>\n<p><strong>Evitar downloads de fontes n\u00e3o confi\u00e1veis<\/strong><br \/>Nunca baixe instaladores de software de sites desconhecidos ou suspeitos.<\/p>\n<\/li>\n<li>\n<p style=\"text-align: justify;\"><strong>Monitorar altera\u00e7\u00f5es no sistema<\/strong><br \/>Use ferramentas de seguran\u00e7a para acompanhar altera\u00e7\u00f5es no registro e arquivos execut\u00e1veis em diret\u00f3rios cr\u00edticos.<\/p>\n<\/li>\n<li>\n<p><strong>Educa\u00e7\u00e3o sobre phishing<\/strong><br \/>Treine os usu\u00e1rios para identificar p\u00e1ginas de phishing e mensagens enganosas.<\/p>\n<\/li>\n<li>\n<p style=\"text-align: justify;\"><strong>Ferramentas de seguran\u00e7a atualizadas<\/strong><br \/>Utilize antiv\u00edrus e solu\u00e7\u00f5es de endpoint que detectem atividades maliciosas e comportamentos incomuns no sistema.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\">A campanha do PNGPlug e do ValleyRAT destaca a crescente sofistica\u00e7\u00e3o dos ataques cibern\u00e9ticos. O uso de instaladores falsos e o disfarce de malware em aplicativos leg\u00edtimos exigem uma abordagem proativa em seguran\u00e7a cibern\u00e9tica.<\/p>\n<p style=\"text-align: justify;\">Com medidas preventivas e conscientiza\u00e7\u00e3o, \u00e9 poss\u00edvel reduzir o impacto dessas amea\u00e7as. Al\u00e9m disso, compartilhar informa\u00e7\u00f5es sobre campanhas como essa \u00e9 essencial para fortalecer as defesas globais contra cibercriminosos.<\/p>\n<p>\u00a0<\/p>\n<p>Fonte e imagens: <a href=\"https:\/\/thehackernews.com\/2025\/01\/pngplug-loader-delivers-valleyrat.html\" target=\"_blank\" rel=\"noopener\">https:\/\/thehackernews.com\/2025\/01\/pngplug-loader-delivers-valleyrat.html<\/a><\/p>\n\n\n\n\n\n\n","protected":false},"excerpt":{"rendered":"<p>PNGPlug Loader e ValleyRAT: malware disfar\u00e7ado em instaladores falsos de software Pesquisadores de seguran\u00e7a cibern\u00e9tica alertaram para uma s\u00e9rie de ataques direcionados a regi\u00f5es de l\u00edngua chinesa, como Hong Kong, Taiwan e China continental. Esses ataques utilizam um malware conhecido como ValleyRAT, entregue por meio de um loader sofisticado chamado PNGPlug. O objetivo principal dos [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":21631,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105],"tags":[],"class_list":["post-21627","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21627","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=21627"}],"version-history":[{"count":5,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21627\/revisions"}],"predecessor-version":[{"id":21633,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21627\/revisions\/21633"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/21631"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=21627"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=21627"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=21627"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}