SOC Prime Bias: Crítico

05 Feb 2026 17:11 UTC

Cadeia de Instalador Falso Termina em Infecção ValleyRAT

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Cadeia de Instalador Falso Termina em Infecção ValleyRAT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Um instalador trojanizado posando como o LINE setup do mensageiro foi observado entregando um ValleyRAT payload. Construído com NSIS e assinado com um certificado suspeito, o dropper planta múltiplos componentes DLL e INI que suportam a injeção de código and persistência. O malware então se comunica com dois servidores C2 hospedados em Hong Kong para buscar binários maliciosos adicionais. A atividade parece ter como alvo usuários de língua chinesa e emprega tecnicas avançadas, incluindo Variante 7 do PoolParty injeção de processo.

Investigação

Analistas da Cybereason conduziram análises estática e dinâmica do falso instalador LINE e confirmaram o uso de PowerShell, rundll32, e carregadores DLL personalizados. A cadeia criou artefatos em %AppData% and %LocalAppData%, estabeleceu sincronização via mutexes, e registrou persistência através de tarefas agendadas criadas via RPC. O comportamento pós-instalação incluiu a injeção em explorer.exe and UserAccountBroker.exe, consistente com um fluxo de trabalho de acesso remoto focado em furtividade. A telemetria de rede identificou dois endereços IP C2 em Hong Kong usados para a recuperação de comandos e preparação de payloads. Atribuição foi avaliada como consistente com atividade Silver Fox e mostrou sobreposição de código com SADBRIDGE.

Mitigação

Procure pelo falso instalador empacotado por NSIS e alerte sobre a impressão digital de certificado suspeito associada à cadeia de assinatura. Monitore a criação do conjunto de arquivos descartados pelo instalador, modificações relacionadas no registro, e tentativas de adicionar exclusões do Windows Defender. Bloqueie a conectividade de saída para os IPs C2 identificados e aplique controles de assinatura de código que rejeitem certificados inválidos ou não confiáveis. Adicione detecções de EDR para padrões de injeção em estilo Variante 7 do PoolPartye para sequências de criação de tarefas agendadas consistentes com persistência baseada em RPC.

Resposta

Se atividade suspeita for detectada, isole o endpoint, termine os processos maliciosos, e remova o falso instalador e todos os artefatos descartados. Realize uma varredura completa para módulos adicionais, restaure as configurações do Defender (incluindo remoção de exclusões não autorizadas), e delete as tarefas agendadas criadas pelo invasor. Revise atividades recentes de usuário e host por sinais de movimento lateral, em seguida, escale para resposta a incidentes para captura de memória e coleta forense mais profunda. ValleyRAT modules, restore Defender settings (including removal of unauthorized exclusions), and delete attacker-created scheduled tasks. Review recent user and host activity for signs of lateral movement, then escalate to incident response for memory capture and deeper forensic collection.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria e Linha de Base deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa do Ataque & Comandos:
    Um invasor que já comprometeu uma conta de baixa privilégio deseja preparar um payload no host comprometido enquanto evita escaneamento antivírus. O invasor:

    1. Usa PowerShell para adicionar uma exclusão do Windows Defender que cobre todo o C: drive, garantindo que quaisquer binários maliciosos colocados lá estejam invisíveis para o Defender.
    2. Na mesma invocação do PowerShell, registra uma tarefa agendada que lançará o payload oculto ( ) toda vez que um processo legítimo específico (ex.:) iniciar, fornecendo persistência.Como ambas as ações estão combinadas em um único comando de linha, a telemetria corresponde à explorer.exeregra Sigma
    3. Because both actions are combined into a single command line, the telemetry matches the Sigma rule’s seleção1 e seleção2 condição, causando um alerta.
  • Script de Teste de Regressão:

    # -------------------------------------------------
    # Simulação de Falso Instalador – Aciona Regra Sigma
    # -------------------------------------------------
    # 1. Defina caminho de exclusão (todo o drive C:)
    $exclusion = "C:"
    # 2. Defina detalhes da tarefa agendada
    $taskName = "UpdateScheduler"
    $action   = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-ExecutionPolicy Bypass -File C:Malwarepayload.ps1"
    $trigger  = New-ScheduledTaskTrigger -AtLogOn
    # 3. Combine ambos os comandos em uma única linha de comando do PowerShell
    $combined = "Add-MpPreference -ExclusionPath `"$exclusion`"; Register-ScheduledTask -TaskName `"$taskName`" -Action `$action -Trigger `$trigger -Force"
    # 4. Invoque o comando combinado
    Invoke-Expression $combined
  • Comandos de Limpeza:

    # -------------------------------------------------
    # Limpeza – Remova exclusão e tarefa agendada
    # -------------------------------------------------
    # Remova a exclusão do Defender para C:
    Remove-MpPreference -ExclusionPath "C:"
    # Delete a tarefa agendada
    Unregister-ScheduledTask -TaskName "UpdateScheduler" -Confirm:$false