Új Silver Fox kampány indult

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe
Beküldte kami911 -

Új malware kampány indult a híres Silver Fox APT nevéhez köthetően, mely során hamis Telegram kínai nyelvcsomag telepítőbe rejtettek ValleyRAT trójai vírust. A rosszindulatú szoftver egy átlagos MSI telepítőnek volt álcázva, és először 2026 április 8-án jelent meg a MalwareBazaar nevű oldalon.

A legújabb támadássorozat során egy olyan mindennapi konfigurációs fájlban rejtették el a malwaret, amelyet számtalan kínai anyanyelvű felhasználó ártalmatlannak tekintene, és gondolkodás nélkül letöltene. A Breakglass Intelligence szakértői szerint a támadás célpontjában olyan kínai antivírus termékek állhatnak, mint például a Qihoo 360, a Tencent PC Manager és a Huorong.

A malware a WiX Toolset framework-öt használja és arra kalibrált, hogy rejtve maradjon a Windows hozzáadható/törölhető programjainak listáiról. Amint a program lefutott, a ValleyRAT payload kommunikálni kezd a 118[.]107[.]43[.]65 C2 szerverrel az 5040-es porton, amelyet egy Silver Fox-hoz köthető szolgáltató hostolt. Az okozott károk mértéke jelentős – egy másodlagos bináris fájl, a DesignAccent.exe, ütemezett feladatként fut, és feltehetően képernyőkép-készítési vagy rejtett adatátviteli funkciókkal rendelkezik. Továbbá a „Bring Your Own Vulnerable Driver” technikával betöltött wnBios kernel-rootkit közvetlen olvasási és írási hozzáférést biztosít a támadónak a fizikai memóriához, lehetővé téve számára a kernel-szintű biztonsági eszközök letiltását és a kártevő jelenlétének elrejtését az operációs rendszer elől.

A hálózati peremen a biztonsági szakembereknek javasolt a 118[.]107[.]43[.]65 cím, valamint a CTG Server 118[.]107[.]40[.]0/21 netblock tiltása. Érdemes figyelmet fordítani azon MSI-telepítésekre is, ahol a 7238-as típusú VBScript egyéni műveletei indítják el a PowerShell-t, és azzal a GjdLUhqZIJJB.exe, SingMusice.exe, és DesignAccent.exe folyamatnevek után kutatnak. A zpaqfranz futását az átlagos munkaállomásokon gyanúsnak kell tekinteni, továbbá figyelni kell azon AppShellElevationService szolgáltatásokra, amelyek nem szabványos bináris útvonalakkal van regisztrálva.