Những người nói tiếng Trung Quốc ngày càng trở thành mục tiêu của nhiều chiến dịch lừa đảo qua email nhằm phân phối nhiều dòng phần mềm độc hại khác nhau như Sainbox RAT, Purple Fox và một trojan mới có tên ValleyRAT.
“Các chiến dịch bao gồm dụ dỗ bằng tiếng Trung Quốc và phần mềm độc hại thường liên quan đến hoạt động tội phạm mạng của Trung Quốc”, công ty bảo mật doanh nghiệp Proofpoint cho biết trong một báo cáo được chia sẻ với The Hacker News.
Hoạt động này được quan sát từ đầu năm 2023, bao gồm việc gửi email chứa URL trỏ đến các tệp thực thi được nén chịu trách nhiệm cài đặt phần mềm độc hại. Các chuỗi lây nhiễm khác đã được phát hiện lợi dụng các tệp đính kèm Microsoft Excel và PDF nhúng các URL này để kích hoạt hoạt động độc hại.
Các chiến dịch này thể hiện sự khác biệt trong việc sử dụng cơ sở hạ tầng, tên miền của người gửi, nội dung email, nhắm mục tiêu và tải trọng, cho thấy các cụm mối đe dọa khác nhau đang gia tăng các cuộc tấn công.
Hơn 30 chiến dịch như vậy đã được phát hiện vào năm 2023 sử dụng phần mềm độc hại thường liên quan đến hoạt động tội phạm mạng của Trung Quốc. Kể từ tháng 4 năm 2023, không dưới 20 chiến dịch trong số đó được cho là đã phát tán Sainbox, một biến thể của trojan Gh0st RAT còn được gọi là FatalRAT .
Proofpoint cho biết họ đã xác định được ít nhất ba chiến dịch khác phát tán phần mềm độc hại Purple Fox và sáu chiến dịch bổ sung phát tán một loại phần mềm độc hại mới có tên là ValleyRAT, chiến dịch sau bắt đầu vào ngày 21 tháng 3 năm 2023.
ValleyRAT, được công ty an ninh mạng Trung Quốc Qi An Xin ghi lại lần đầu tiên vào tháng 2 năm 2023, được viết bằng C++ và chứa các chức năng thường thấy trong các trojan truy cập từ xa, chẳng hạn như tìm nạp và thực thi các tải trọng bổ sung (DLL và tệp nhị phân) được gửi từ máy chủ từ xa và liệt kê các quy trình đang chạy , trong số những người khác.
Mặc dù Gh0st RAT đã được sử dụng rộng rãi trong nhiều chiến dịch mạng khác nhau có liên quan đến Trung Quốc trong những năm qua, nhưng sự xuất hiện của ValleyRAT cho thấy nó có thể được triển khai rộng rãi trong tương lai.
Công ty cho biết: “Sự gia tăng hoạt động của phần mềm độc hại bằng tiếng Trung Quốc cho thấy sự mở rộng của hệ sinh thái phần mềm độc hại của Trung Quốc, thông qua việc tăng tính khả dụng hoặc dễ dàng truy cập vào tải trọng và danh sách mục tiêu, cũng như khả năng gia tăng hoạt động của các nhà điều hành tội phạm mạng nói tiếng Trung Quốc”.