محققان امنیت سایبری مجموعهای از حملات سایبری را بررسی کردهاند که مناطق چینی زبان مانند هنگکنگ، تایوان و چین را با بدافزار شناخته شده ValleyRAT هدف قرار داده است.
Intezer در گزارشی فنی گفت: این حملات از لودر چند مرحلهای PNGPlug برای تحویل پیلود ValleyRAT استفاده میکنند. زنجیره آلودگی با یک صفحه فیشینگ شروع میشود که برای تشویق قربانیان به دانلود پکیج مخرب Microsoft Installer (MSI) طراحی شده که به عنوان نرم افزار قانونی پنهان شده است. پس از اجرا، نصب کننده یک اپلیکیشن بیخطر را برای جلوگیری از ایجاد سوء ظن مستقر میکند، در حالی که به طور مخفیانه یک آرشیو رمزگذاری شده حاوی پیلود بدافزار را استخراج میکند. «پکیج مخرب MSI از ویژگی CustomAction Windows Installer استفاده میکند و آن را قادر میسازد تا کدهای مخرب را اجرا کند از جمله اجرای یک DLL مخرب جاسازی شده که آرشیو (all.zip) را با استفاده از گذرواژه رمزگذاری شده «hello202411» رمزگشایی میکند تا اجزای اصلی بدافزار را استخراج کند.
https://thehackernews.com/2025/01/pngplug-loader-delivers-valleyrat.html
