Alerte à un logiciel malveillant dangereux qui exploite les commentaires sur les projets de documents du 14e Congrès national du Parti

En conséquence, le Département de la cybersécurité et de la prévention des crimes de haute technologie (Police de la ville de Hanoï ) a découvert le logiciel malveillant Valley RAT lié à l'adresse du serveur de contrôle (C2) : 27.124.9.13, port 5689, caché dans un fichier nommé « DRAFT RESOLUTION OF THE CONGRESS.exe ».

Les individus ont profité des activités de collecte d'avis sur les projets de documents à soumettre au Congrès pour inciter les utilisateurs à installer des logiciels malveillants et à commettre des actes dangereux tels que le vol d'informations sensibles, l'appropriation de comptes personnels, le vol de documents et la propagation de logiciels malveillants sur d'autres ordinateurs.

Les résultats de l'analyse montrent qu'après son installation sur l'ordinateur de l'utilisateur, le logiciel malveillant s'exécute automatiquement à chaque démarrage de l'ordinateur, se connectant à un serveur de contrôle à distance contrôlé par des pirates informatiques, et continue à partir de là à mener les actions dangereuses décrites ci-dessus.

Élargissez l'analyse et détectez d'autres fichiers malveillants liés au serveur C2 que les pirates ont récemment diffusés : FINANCIAL REPORT2.exe ou BUSINESS INSURANCE PAYMENT.exe ; GOVERNMENT URGENT DISPATCH.exe ; TAX DECLARATION SUPPORT.exe ; PARTY ACTIVITY EVALUATION DISPATCH.exe ou AUTHORIZATION FORM.exe ; MINUTES OF REPORT FOR THE THIRD QUARTER.exe.

Afin de prévenir proactivement les incidents, le Département de la cybersécurité et de la prévention de la criminalité de haute technologie recommande à la population de rester vigilante et de ne pas télécharger, installer ou ouvrir de fichiers d'origine inconnue (en particulier les fichiers exécutables avec les extensions .exe, .dll, .bat, .msi, ...).

Vérifiez le système d'information de l'unité et du lieu afin de détecter les fichiers suspects. Si un incident est constaté, isolez la machine infectée, déconnectez-la d'Internet et signalez-le au Centre national de cybersécurité pour obtenir de l'aide.

Scannez l'intégralité du système avec le logiciel de sécurité le plus récent (EDR/XDR) capable de détecter et de supprimer les logiciels malveillants cachés.

Utilisation recommandée : Avast, AVG, Bitdefender (version gratuite) ou la dernière version mise à jour de Windows Defender (la version gratuite de Kaspersky n’a pas encore détecté ce logiciel malveillant).

En parallèle, effectuez une analyse manuelle : vérifiez dans Process Explorer si vous voyez un processus sans signature numérique ou avec un nom de fichier texte factice.

Vérifiez tcpview pour voir la connexion réseau - s'il détecte une connexion à l'IP 27[.]124[.]9[.]13, alors elle doit être traitée immédiatement.

Les administrateurs doivent bloquer d'urgence sur le pare-feu, empêchant l'accès à l'adresse IP malveillante 27.124.9.13.

Source : https://baovanhoa.vn/nhip-song-so/canh-bao-ma-doc-nguy-hiem-loi-dung-viec-gop-y-du-thao-van-kien-dai-hoi-dai-bieu-toan-quoc-lan-thu-xiv-cua-dang-181494.html