ValleyRAT: фишинговая кампания с DLL side-loading через поддельный Foxit PDF

Киберпреступники проводят целенаправленную кампанию ValleyRAT, ориентированную на людей, ищущих работу. Вектор атаки — фишинговые письма с вложениями, маскируемыми под легитимные документы, которые запускают усовершенствованную версию Foxit PDF Reader и используют механизм DLL side-loading для первоначального компрометации.

Суть атаки

Атака реализуется через вредоносный архив, замаскированный под законный документ. При взаимодействии пользователя с таким вложением выполняется копия FoxitPDFReader.exe, специально подготовленная для загрузки вредоносной библиотеки msimg32.dll. В результате этой цепочки разворачивается ValleyRAT — Remote Access Trojan (RAT), предоставляющий злоумышленникам широкий контроль над скомпрометированными системами.

Кампания использует скрытные техники, в том числе выполнение скриптов и загрузку через .NET reflection, что повышает вероятность обхода средств обнаружения и успешного закрепления в системе.

Пошаговая цепочка компрометации

• Фишинг-письмо: адресовано соискателю и содержит вредоносное вложение, замаскированное под резюме или сопроводительный документ.
• Взаимодействие с вложением: пользователь открывает архив/файл, запускается т.н. модифицированная копия FoxitPDFReader.exe.
• DLL side-loading: запускаемая копия загружает вредоносную библиотеку msimg32.dll, что позволяет исполнить неавторизованный код в контексте легитимного процесса.
• Развертывание ValleyRAT: после загрузки DLL происходит установка ValleyRAT — трояна удаленного доступа, обеспечивающего наблюдение за пользователями и похищение конфиденциальной информации.

Кого затрагивает кампания

• Соискатели работы — основная целевая группа.
• Специалисты HR: рекрутеры и команды по подбору персонала подвергаются повышенному риску, поскольку получают и пересылают вакансии и резюме.
• Организации в целом: компрометация отдельных сотрудников может привести к утечке данных и дальнейшему распространению внутри сети.

Технические индикаторы (IOCs) и ключевые признаки

• Файлы и процессы: FoxitPDFReader.exe (модифицированная копия).
• Загружаемые библиотеки: msimg32.dll (вредоносная).
• Малварь: ValleyRAT (RAT).
• Техники уклонения: выполнение скриптов, использование .NET reflection, DLL side-loading.
• Поведенческие признаки: неожиданные сетевые соединения от процесса FoxitPDFReader, запись/чтение необычных файлов, попытки эксфильтрации данных.

Рекомендации по защите

• Обучение персонала: повысить осведомлённость соискателей и HR-специалистов о рисках фишинга и правилах проверки вложений.
• Политики обработки вложений: блокировать архивы и исполняемые файлы в почтовых клиентах, применять сканирование вложений на почтовом шлюзе.
• Принцип наименьших привилегий: ограничить права пользователей, запретить выполнение приложений из временных каталогов и из профилей пользователей.
• Application control / allowlisting: разрешать исполнение только авторизованных приложений.
• Защита от DLL side-loading: внедрить контроль целостности исполняемых файлов, использовать безопасные практики поиска DLL (например, использование явных путей к системным библиотекам), включить механизмы предотвращения загрузки неподписанных библиотек.
• EDR и сетевой мониторинг: отслеживать поведение процессов, подозрительные сетевые подключения и аномалии в активности.
• Резервное копирование и план реагирования: подготовить процедуры инцидент-менеджмента и регулярные резервные копии критичных данных.

Роль средств защиты и обнаружения

Для оперативного обнаружения и блокирования угроз критично использовать современные решения безопасности. По данным отчёта, решения вроде Trend Micro способны эффективно обнаруживать и блокировать эти IOCs, обеспечивая дополнительный уровень защиты пользователей и организаций. При этом важно комбинировать сигнатурные методы с поведенческим анализом и EDR, чтобы снижать риск обхода защиты через техники типа .NET reflection и DLL side-loading.

«Понимание конкретных методов и методологий, используемых в кампании ValleyRAT, помогает вырабатывать упреждающие стратегии защиты»

Заключение

Кампания ValleyRAT демонстрирует, как простая социальная инженерия — предложение о работе или резюме — в сочетании с техническими приёмами (DLL side-loading, .NET reflection) может привести к серьёзной компрометации. Приоритетными мерами остаются обучение сотрудников, жёсткая политика обработки вложений, внедрение EDR/EDR-подобных решений и использование современных корпоративных средств защиты для обнаружения и блокировки индикаторов компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "ValleyRAT: фишинговая кампания с DLL side-loading через поддельный Foxit PDF".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.