Киберпрестъпниците намериха умен начин да заобиколят защитите за сигурност, като скриват зловреден софтуер в програма, на която повечето хора се доверяват без колебание.

Изследователи разкриха кампания, която злоупотребява с популярния медиен плейър VLC за скрито инсталиране на ValleyRAT – троянец за отдалечен достъп (RAT), който дава на атакуващите пълен контрол над заразените компютри.

Атаката започва по измамно обикновен начин: с имейл. Жертвите получават съобщение относно преместване на персонал или промени в заплатите, придружено с връзка за изтегляне на файл. Веднъж отворен, този файл задейства верига от събития, която завършва с тайна задна вратичка (backdoor), работеща директно в паметта и невидима за много традиционни антивирусни инструменти.

Анализатори от LevelBlue идентифицираха кампанията, докато проследяваха постоянен ръст в откриването на ValleyRAT. Зловредният софтуер е активен от 2023 г., но активността му се засилва рязко през 2025 г. и 2026 г., като се удвоява спрямо предходната година. Според доклада кампанията атакува предимно японски и китайскоговорящи потребители, но рискът се простира далеч извън тези региони, предвид броя на глобалните компании с клонове там.

Хакерите използват легитимен изпълним файл на VLC и зловредна libvlc.dll

Инфекциозната верига започва, когато жертвата кликне върху връзка в фишинг имейла, задействайки изтегляне на ZIP архив, съдържащ два файла: изпълним файл и DLL библиотека. Изпълнимият файл е маскиран с японско име, но вътрешното му описание и хеш съвпадат с оригинален VLC медиен плейър. Придружаващият файл, наречен libvlc.dll, е компонент, на който VLC обикновено разчита за работа. Тъй като Windows се доверява на подписани приложения като VLC, стартирането на фалшивия изпълним файл го кара автоматично да зареди зловредния DLL (техника, известна като DLL sideloading).

След зареждането DLL файлът копира и двата файла в конкретна директория и създава запис в системния регистър за автоматично стартиране. Оттам той тихо се свързва с отдалечен сървър, за да изтегли крайната фаза на ValleyRAT.

Тактики за избягване на засичането и безфайлово изпълнение

ValleyRAT полага сериозни усилия да избегне анализ в пясъчници (sandboxes):

  • Проверява наличната памет и брой процесорни ядра.
  • Измерва времето за изпълнение на командата за изчакване (sleep).
  • Ако открие, че е наблюдаван в тестова среда, спира работа.
  • Кодът съдържа излишни функции с цел затрудняване на обратния инженеринг.

Крайният компонент на ValleyRAT, шифриран с RC4, се декриптира директно в паметта и се инжектира в спрян системен процес, без изобщо да се записва на диска. Този безфайлов подход (fileless execution) не оставя следи за традиционните антивирусни сканирания.

Експертите препоръчват обучение на служителите за разпознаване на фишинг имейли и внедряване на инструменти за защита на крайните устройства (EDR), способни да засичат DLL sideloading и необичайно инжектиране в процеси.