Hanoi alerta sobre un malware de Valley RAT que suplanta la identidad del "Proyecto de Resolución del XIV Congreso del Partido".

Se trata de una artimaña que se aprovecha del amplio clima político de la población para propagar malware, robar información y suponer un riesgo para la seguridad de los sistemas de información de agencias, organizaciones e individuos.

El malware Valley RAT suplanta la identidad de un “Borrador de Resolución del Congreso”.

Según el Departamento de Ciberseguridad y Prevención de Delitos de Alta Tecnología (Policía de la Ciudad de Hanói ), el malware Valley RAT se oculta en un archivo llamado "BORRADOR DE RESOLUCIÓN DEL CONGRESO.exe". Al abrir el archivo, el malware se instala inmediatamente en el sistema, se ejecuta automáticamente cada vez que se inicia el ordenador y se conecta al servidor de control (C2) en la dirección 27.124.9.13 (puerto 5689), controlado por el atacante.

Desde aquí, el malware puede realizar acciones peligrosas: robar información confidencial del ordenador del usuario; tomar el control del ordenador; robar cuentas personales y corporativas; recopilar documentos internos; y seguir propagando el malware a otros dispositivos del mismo sistema.

El factor peligroso es que la interfaz del archivo está disfrazada para parecer un documento administrativo real, lo que facilita la confusión de los usuarios, especialmente en el contexto de muchas unidades que envían y reciben documentos para comentarlos.

Se han descubierto más archivos de malware relacionados.

Mediante un análisis más exhaustivo, las autoridades descubrieron muchos más archivos maliciosos con estructuras similares, que parecían documentos administrativos conocidos: FINANCIAL REPORT2.exe o BUSINESS INSURANCE PAYMENT.exe; GOVERNMENT'S URGENT OFFICIAL DISPATCH.exe; TAX DECLARATION SUPPORT.exe; PARTY ACTIVITY EVALUATION DOCUMENT.exe o AUTHORIZATION FORM.exe; MINUTES OF REPORT FOR THE THIRD QUARTER.exe

Estos archivos reciben nombres relacionados con aspectos específicos del trabajo de oficina, finanzas, asuntos del Partido, impuestos... lo que aumenta la posibilidad de que los usuarios piensen que son documentos internos y los abran, creando así las condiciones para la propagación de malware.

Mediante análisis técnico, la policía de Hanoi evaluó a Valley RAT como particularmente peligroso debido a que posee características que lo convierten en una grave amenaza: se oculta en el sistema, iniciándose automáticamente con Windows; permite a los hackers controlar el dispositivo de forma remota; es capaz de descargar malware adicional; recopila automáticamente datos confidenciales y los envía al servidor de control; puede registrar las pulsaciones de teclas, tomar capturas de pantalla y robar contraseñas guardadas en el navegador; y se propaga fácilmente en la red interna.

Muchas agencias y organizaciones utilizan correo electrónico interno o Zalo, Facebook Messenger para intercambiar documentos, creando involuntariamente un entorno propicio para la propagación de malware si tan solo una máquina del sistema está infectada. Para garantizar la seguridad de la información, el Departamento de Ciberseguridad y Prevención de Delitos de Alta Tecnología del Departamento de Policía de la Ciudad de Hanói ha emitido recomendaciones específicas:

No abra ni descargue archivos extraños, archivos .exe de correos electrónicos o redes sociales, tenga especial cuidado con los archivos con extensiones: .exe; .dll; .bat; .msi... Incluso si el archivo es enviado por un conocido (la cuenta puede haber sido pirateada).

Revise todos los dispositivos y sistemas. Si detecta alguna anomalía, desconéctese inmediatamente de Internet; no siga utilizando el dispositivo; informe a las autoridades o al Centro Nacional de Ciberseguridad (NCSC).

Analice el sistema con un software de seguridad confiable. Tanto organizaciones como particulares deben instalar de forma proactiva software antivirus y antimalware como Avast (gratuito), AVG (gratuito), Bitdefender (gratuito) y Windows Defender (última actualización). Cabe destacar que la policía de Hanói señaló que el antivirus gratuito Kaspersky aún no ha detectado este tipo de malware.

Realice un escaneo manual en busca de indicios de ataque. Además de usar software antivirus y cortafuegos, es necesario usar Process Explorer para detectar procesos extraños sin firma digital; use TCPView para verificar la conexión; si detecta una conexión a la IP 27.124.9.13, debe actuar de inmediato.

Los administradores del sistema deben bloquear inmediatamente la IP maliciosa. Los usuarios deben configurar el firewall para bloquear todo acceso a la IP 27.124.9.13 e impedir que el malware se conecte al servidor de control.

Reforzar las alertas internas. Las unidades deben notificar inmediatamente a los oficiales y empleados que no abran bajo ninguna circunstancia los documentos adjuntos relacionados con comentarios si no se puede verificar la fuente.

La población debe recibir información oficial de alerta y seguir las recomendaciones del Ministerio de Seguridad Pública , el Ministerio de Información y Comunicaciones y la Policía Local. Se recomienda no compartir archivos sospechosos en redes sociales para evitar su propagación y aumentar la vigilancia para proteger la seguridad de la red nacional.

La aparición del malware Valley RAT justo en el momento de los comentarios sobre los borradores de los documentos del XIV Congreso Nacional del Partido demuestra que los ciberatacantes están explotando exhaustivamente la confianza de los usuarios en los documentos políticos y administrativos.

La seguridad de la información no es solo responsabilidad de organismos especializados, sino también deber de cada persona que utiliza dispositivos digitales. La correcta identificación, la actuación rápida y la notificación oportuna contribuirán significativamente a proteger el sistema nacional de información y a mantener la seguridad en el ciberespacio.