Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Usan VLC falso y libvlc.dll malicioso para desplegar ValleyRAT


Ciberdelincuentes están utilizando una táctica ingeniosa para evadir las defensas de seguridad ocultando malware dentro de un programa confiable. Investigadores han detectado una campaña que abusa del popular reproductor VLC media player para instalar silenciosamente ValleyRAT, un troyano de acceso remoto que otorga a los atacantes el control total sobre los equipos infectados.



Los ciberdelincuentes han encontrado una forma ingeniosa de burlar las defensas de seguridad ocultando malware dentro de un programa en el que la mayoría de la gente confía sin pensarlo dos veces.

Investigadores han descubierto una campaña que abusa del popular reproductor multimedia VLC para instalar silenciosamente ValleyRAT, un troyano de acceso remoto que otorga a los atacantes el control total sobre los ordenadores infectados.

El ataque comienza con algo engañosamente ordinario: un correo electrónico. Las víctimas reciben un mensaje sobre traslados de personal o cambios salariales, con un enlace para descargar un archivo.

Una vez abierto, ese archivo desencadena una serie de eventos que termina con una puerta trasera oculta ejecutándose silenciosamente en la memoria, invisible para muchas herramientas antivirus tradicionales.

Analistas de LevelBlue identificaron la campaña mientras rastreaban un aumento constante en las detecciones de ValleyRAT a través de su Centro Global de Operaciones de Seguridad.

El malware ha estado activo desde 2023, pero la actividad se aceleró bruscamente entre 2025 y 2026, casi duplicándose en comparación con el año anterior.

LevelBlue señaló en un informe que la versión de esta campaña basada en correos electrónicos maliciosos se dirige específicamente a usuarios que hablan chino y japonés, aunque el riesgo se extiende mucho más allá de esas regiones dada la cantidad de empresas globales que operan oficinas allí.

ValleyRAT fake installer attack chain (Source - LevelBlue)
Cadena de ataque del instalador falso de ValleyRAT (Fuente – LevelBlue)

Lo que hace notable a esta campaña es su uso de una aplicación legítima como camuflaje.

En lugar de escribir malware desde cero que el software antivirus podría marcar inmediatamente, los atacantes reutilizaron el propio ejecutable de confianza de VLC, combinándolo con una versión corrupta de uno de sus archivos de soporte para evadir las defensas sin ser detectados.

Los hackers utilizan un ejecutable legítimo de VLC y la DLL maliciosa libvlc.dll

La cadena de infección comienza cuando una víctima hace clic en un enlace del correo de phishing, lo que activa la descarga de un archivo ZIP que contiene dos archivos: un ejecutable y una DLL.

El ejecutable está disfrazado con un nombre de archivo en japonés relacionado con el asunto del correo electrónico, aunque su descripción interna del archivo y su hash coinciden con una compilación genuina del reproductor de medios VLC.

El archivo adjunto, llamado libvlc.dll, es un componente del que VLC normalmente depende para funcionar.

ValleyRAT malicious email attack chain (Source - LevelBlue)
Cadena de ataque de correo malicioso de ValleyRAT (Fuente – LevelBlue)

Dado que Windows confía en las aplicaciones firmadas como VLC, ejecutar el ejecutable falso provoca que cargue automáticamente esta DLL maliciosa, una técnica que los investigadores llaman DLL sideloading. Esto permite que el código dañino se ejecute bajo la cobertura de un nombre de programa reconocido y legítimo.

Una vez cargada, la DLL copia ambos archivos a un directorio fijo y crea una entrada en el registro para que el ejecutable se reinicie cada vez que la víctima inicia sesión, asegurando que la infección sobreviva a un reinicio. A partir de ahí, se comunica silenciosamente con un servidor remoto para obtener la carga final de ValleyRAT.

Tácticas de evasión y ejecución sin archivos

El mecanismo de entrega de ValleyRAT hace esfuerzos considerables para evitar ser detectado en un sandbox o entorno de análisis.

Antes de hacer cualquier daño, el malware comprueba la memoria disponible, cuenta los núcleos del procesador y mide cuánto tiempo tarda realmente un comando de suspensión, ya que los entornos de prueba virtuales suelen comportarse de manera diferente a las máquinas reales.

Si alguna de estas comprobaciones sugiere que está siendo vigilado, el malware simplemente se detiene y no hace nada más, lo que hace que sea mucho más difícil para los defensores observar su comportamiento real.

El código también está relleno con grandes cantidades de funciones basura sin sentido, diseñadas puramente para ralentizar a cualquiera que intente realizar ingeniería inversa.

Quizás lo más preocupante es cómo se entrega la carga final. El componente de ValleyRAT descargado, cifrado con un cifrado RC4 simple, se descifra directamente en la memoria y se inyecta en un proceso del sistema suspendido en lugar de guardarse en el disco.

The decrypted sample contains code that establishes persistence for GFIRestart64.exe (Source - LevelBlue)
La muestra descifrada contiene código que establece la persistencia para GFIRestart64.exe (Fuente – LevelBlue)

Este enfoque sin archivos significa que no queda ningún archivo malicioso obvio que los escaneos antivirus tradicionales puedan capturar.

Los investigadores recomiendan que las organizaciones entrenen a sus empleados para reconocer señales de advertencia, como nombres de archivos ejecutables inusuales en japonés, descripciones de archivos que no coincidan y correos electrónicos comerciales enviados desde dominios de correo web gratuitos.

También se aconseja implementar herramientas de detección de endpoints capaces de detectar el comportamiento de DLL sideloading y la inyección de procesos inusuales, ya que estas técnicas son demasiado técnicas para la formación típica de los empleados por sí sola.

Para las organizaciones ya afectadas, aislar el sistema comprometido de la red y revisar los registros de seguridad para entender qué acciones realizó el atacante son los primeros pasos esenciales. En casos más graves, una reinstalación completa del sistema operativo puede ser el camino más seguro.

Esta campaña es un recordatorio de que la confianza en nombres de software familiares puede ser explotada tan fácilmente como la confianza en extraños. A medida que ValleyRAT continúa evolucionando sus técnicas de evasión, mantenerse alerta a las pequeñas inconsistencias en los correos electrónicos y las propiedades de los archivos sigue siendo una de las mejores defensas disponibles.

Indicadores de Compromiso

TipoIndicadorDescripción
SHA1e8be03f19ada1f5cec74b143e21d4939e781671dCorreo electrónico malicioso
Dominiofrehf.oss-cn-hongkong.aliyuncs[.]comDominio parte de la URL en el correo malicioso
SHA165168c8dd93b16d3b77092fb70c0fa6fba4dffccArchivo ZIP (ejecutable de VLC falso)
URLhttp://154.92.16.22/xz.binURL de descarga de ValleyRAT
SHA1eca7ed7b699835fadc2c2997a2845864e02b8dfeMuestra de ValleyRAT cifrada por RC4

Nota: Las direcciones IP y los dominios han sido neutralizados intencionadamente (ej., [.]) para evitar la resolución accidental o el hipervínculo. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.


Fuentes:
https://cybersecuritynews.com/hackers-use-fake-vlc-executable/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.