ValleyRAT kampány
A Trend Micro jelentése szerint a ValleyRAT egy többfázisú Windows-alapú RAT, amelyet tavaly óta folyamatosan fejlesztenek és most új kampányokban már nem kizárólag kínai nyelvű célpontokat támad, hanem globálisan a munkakeresőkre és HR-es szakemberekre is ráirányult.
A legfrissebb hullám jellemzője, hogy adathalász-levelekben állásjelentkezésnek vagy ajánlatnak álcázott tömörített fájlokat küldenek. Az álláskeresők kíváncsiságára és időnyomás-érzésére alapozva, sokan megnyitják ezeket, különösen ha abban PDF-ként látszó dokumentum ikonja, vagy ismert PDF-olvasó logója szerepel.
A DLL csomagban nem közvetlenül a RAT található. Először egy fedésben lévő futtatható fájl indul el, amely betölti a valódi, titkosított komponenseket memóriába, majd végrehajtja azokat, így a rosszindulatú kód fájlként nem, csak futás közben jelenik meg. Ezzel nehezítik a jellegzetes malware-detektálást.
Ha a támadás sikeres, a ValleyRAT teljes távoli hozzáférést ad az elkövetőknek, fájlokat tölthetnek le vagy fel, adatokat küldhetnek tovább, munkamenetet (session) szerezhetnek, képernyőképet készíthetnek és ezzel érzékeny adatokat, hitelesítéseket vagy vállalati információkat lophatnak.
Korábban a malware fő célcsoportját kínai nyelvű felhasználók, cégek és szervezetek jelentették, a 2025-ös kampányokban angol nyelvű álláskeresők is célponttá váltak. Ez mutatja, hogy az elkövetők kibővítették célpont-körüket, és adaptálták a támadási módszereket.
