Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Silver Fox Targets Indian Users With Tax-Themed Emails Delivering ValleyRAT Malware

1 minute de lecture

Mis à jour :

Campagne d’hameçonnage ciblant l’Inde avec le malware ValleyRAT

Un groupe de cybercriminalité d’origine chinoise, connu sous le nom de Silver Fox, a élargi ses opérations pour cibler des utilisateurs en Inde. Ces attaques utilisent des courriels d’hameçonnage imitant des communications du département des impôts indien pour distribuer un cheval de Troie d’accès à distance modulaire, baptisé ValleyRAT (également connu sous le nom de Winos 4.0).

Points Clés :

  • Acteur de menace : Silver Fox, un groupe actif depuis 2022, dont les motivations varient de l’espionnage au gain financier.
  • Ciblage : Initialement focalisé sur les locuteurs chinois, le groupe cible désormais divers secteurs en Inde, notamment les organisations publiques, financières, médicales et technologiques.
  • Vecteur d’infection : Courriels d’hameçonnage contenant des pièces jointes en PDF frauduleuses. L’ouverture de ces documents déclenche le téléchargement d’un fichier ZIP contenant un installateur NSIS.
  • Mécanisme de propagation : L’installateur utilise une technique de “DLL hijacking” en exploitant un exécutable légitime (“thunder.exe”) et une DLL malveillante (“libexpat.dll”) pour obtenir la persistance.
  • Charge utile : ValleyRAT, un malware modulaire conçu pour la collecte d’informations, la surveillance et la furtivité. Il peut injecter sa charge utile dans des processus légitimes comme “explorer.exe”.
  • Techniques supplémentaires : Le groupe utilise également le “SEO poisoning” pour créer des sites web frauduleux qui usurpent l’identité d’applications populaires (Microsoft Teams, VPN, etc.) afin de distribuer des installateurs malveillants.

Vulnérabilités :

Aucune vulnérabilité spécifique avec un identifiant CVE n’est explicitement mentionnée dans l’article. L’infection repose sur des techniques d’ingénierie sociale et l’exploitation de fonctionnalités logicielles existantes (DLL hijacking).

Recommandations :

  • Vigilance accrue : Les utilisateurs doivent être extrêmement prudents face aux courriels inattendus, en particulier ceux contenant des demandes d’informations sensibles ou des pièces jointes, même si elles semblent provenir d’organismes officiels.
  • Vérification des sources : Il est crucial de vérifier l’authenticité des expéditeurs et des liens avant de cliquer ou de télécharger quoi que ce soit.
  • Solutions de sécurité à jour : Maintenir les logiciels antivirus et les systèmes d’exploitation à jour est essentiel pour se protéger contre les malwares connus.
  • Sensibilisation : Renforcer la formation des employés aux menaces de cybersécurité, en particulier celles liées à l’hameçonnage.

Source

Vous pourriez aimer