2026年4月8日、セキュリティ研究者は中国関連のSilver Foxハッキンググループからの新しいマルウェアキャンペーンを特定しました。
攻撃者は偽の中国語のTelegramパッケージを使用して、ValleyRATと呼ばれる強力なバックドアでWindowsコンピューターを静かに感染させています。
この攻撃は、複雑な6段階のプロセス、アンチウイルスソフトウェアを回避するための巧妙なトリック、そして被害者のシステムへの深い制御を得るための脆弱なコンピュータドライバーを使用しています。
この攻撃は、ユーザーがTelegramの言語更新に偽装された悪意のあるインストーラーファイルをダウンロードするときに始まります。開くと、このファイルはzpaqfranzと呼ばれる正当なデータ圧縮ツールを使用して、3つの隠されたコンポーネントを静かに抽出します。
ハッカーがこの特定の圧縮形式を使用することはめったにないため、一般的なアーカイブ形式を探すセキュリティスキャナーを回避するために設計された珍しい選択肢になります。
次に、インストーラーはコンピューターで人気のある中国のアンチウイルスプログラムをチェックします。これらのセキュリティツールが見つかった場合、マルウェアは隠された悪意のあるファイルと一緒にByteDanceが作成した正当なプログラムを配置することで、検出を回避するためにその動作を変更します。
ByteDanceプログラムは信頼でき、デジタル署名されているため、アンチウイルスソフトウェアはそれを正当なものとして扱い、悪意のあるファイルがバックグラウンドで読み込まれることを許可します。
最後に、マルウェアは香港にあるリモートコントロールサーバーに接続し、攻撃者にマシンへの完全なアクセス権を与えます。
被害者が侵害について知らないようにするために、インストーラーはプロセスの最後に中国語言語パッケージを実際のTelegramアプリに適用します。
ValleyRATバックドアがアクティブになると、もともとWincor Nixdorfコンピュータシステム用に作成された脆弱なシステムドライバーをインストールします。
この手法により、マルウェアはコンピューターのメモリへの深い、カーネルレベルのアクセスを取得でき、残りのセキュリティ防御をオフにしてその痕跡を隠すために使用します。
セキュリティ専門家は、操作のコントロールサーバーをSilver Foxグループが頻繁にサイバー犯罪に使用する特定のプルーフホスティングネットワークに追跡しています。
彼らはしばしば、Zoom、WinSCP、Microsoft Teamsなどの人気のあるソフトウェアの偽のウェブサイトと変更されたインストーラーを作成することで、ユーザーを騙します。
この最新のキャンペーンでは、攻撃者は操作を整理するためにマルウェアのコード内に「King-New」と呼ばれる特別なトラッキングタグを埋め込みました。
ディフェンダーは、特定されたコントロールサーバーのIPアドレスをブロックし、zpaqfranz圧縮ツールの異常な実行についてネットワークを監視することをお勧めします。
翻訳元: https://cyberpress.org/fake-telegram-drops-valleyrat/