Hanói alerta para malware Valley RAT que se faz passar por "Projeto de Resolução do 14º Congresso Nacional do Partido".

Trata-se de um truque que se aproveita do amplo cenário político da população para disseminar malware, roubar informações e representar um risco para a segurança dos sistemas de informação de agências, organizações e indivíduos.

O malware Valley RAT se faz passar por um "Projeto de Resolução do Congresso".

De acordo com o Departamento de Segurança Cibernética e Prevenção de Crimes de Alta Tecnologia (Polícia da Cidade de Hanói ), o malware Valley RAT está disfarçado em um arquivo chamado "DRAFT RESOLUTION OF THE CONGRESS.exe". Quando o usuário abre o arquivo, o malware se instala imediatamente no sistema, é executado automaticamente sempre que o computador é iniciado e se conecta ao servidor de controle (C2) no endereço 27.124.9.13 (porta 5689) controlado pelo hacker.

A partir daqui, o malware pode realizar ações perigosas: roubar informações confidenciais do computador do usuário; assumir o controle do computador; roubar contas pessoais e corporativas; coletar documentos internos; continuar a se espalhar para outros dispositivos no mesmo sistema.

O fator perigoso é que a interface do arquivo é disfarçada para se parecer com um documento administrativo real, facilitando a confusão dos usuários, especialmente no contexto de muitas unidades enviando e recebendo documentos para comentar outros documentos.

Mais arquivos de malware relacionados foram descobertos.

Por meio de varreduras ampliadas, as autoridades descobriram muitos outros arquivos maliciosos com estruturas semelhantes, que se assemelhavam a documentos administrativos conhecidos: FINANCIAL REPORT2.exe ou BUSINESS INSURANCE PAYMENT.exe; GOVERNMENT'S URGENT OFFICIAL DISPATCH.exe; TAX DECLARATION SUPPORT.exe; PARTY ACTIVITY EVALUATION DOCUMENT.exe ou AUTHORIZATION FORM.exe; MINUTES OF REPORT FOR THE THIRD QUARTER.exe

Esses arquivos recebem nomes relacionados a assuntos específicos de escritório, finanças, partido, impostos... aumentando a possibilidade de que os usuários os confundam com documentos internos e os abram, criando condições para a disseminação de malware.

Por meio de análise técnica, a Polícia da Cidade de Hanói classificou o Valley RAT como particularmente perigoso devido às suas características que o tornam uma grande ameaça: ocultação no sistema, iniciando automaticamente com o Windows; capacidade de permitir que hackers controlem o dispositivo remotamente; capacidade de baixar malware adicional; coleta automática de dados confidenciais e envio para o servidor de controle; capacidade de registrar teclas digitadas, capturar telas e roubar senhas salvas no navegador; e facilidade de propagação na rede interna.

Muitas agências e organizações utilizam e-mails internos ou aplicativos como Zalo e Facebook Messenger para trocar documentos, criando involuntariamente um ambiente propício à disseminação de malware caso apenas uma máquina no sistema esteja infectada. Para garantir a segurança da informação, o Departamento de Segurança Cibernética e Prevenção de Crimes de Alta Tecnologia da Polícia da Cidade de Hanói elaborou recomendações específicas:

Não abra nem baixe arquivos suspeitos, especialmente arquivos .exe de e-mails ou redes sociais. Desconfie principalmente de arquivos com extensões como .exe, .dll, .bat, .msi, etc. Mesmo que o arquivo tenha sido enviado por um conhecido (a conta pode ter sido invadida).

Verifique todos os dispositivos e sistemas. Ao detectar sinais incomuns, os usuários devem desconectar-se imediatamente da internet; não continuem usando o dispositivo; e reportem o problema às autoridades ou ao Centro Nacional de Segurança Cibernética (NCSC).

Analise o sistema com um software de segurança confiável. Organizações e indivíduos precisam instalar proativamente softwares antivírus e antimalware, como: Avast (gratuito); AVG (gratuito); Bitdefender (gratuito); Windows Defender (versão mais recente). Vale ressaltar que a Polícia de Hanói observou que o software antivírus gratuito Kaspersky ainda não detectou esse tipo de malware.

Faça uma varredura manual em busca de sinais de ataque. Além de usar softwares antivírus e firewalls, é necessário utilizar o Process Explorer para identificar processos suspeitos sem assinatura digital; utilize o TCPView para verificar a conexão; caso encontre uma conexão com o IP 27.124.9.13, é preciso lidar com ela imediatamente.

Os administradores de sistema precisam bloquear imediatamente o IP malicioso. Os usuários precisam configurar o firewall para bloquear todo o acesso ao IP 27.124.9.13 para impedir que o malware se conecte ao servidor de controle.

Reforçar os alertas internos. As unidades precisam notificar imediatamente os oficiais e funcionários para que não abram, em hipótese alguma, documentos "anexos" relacionados a comentários em documentos, caso a fonte não possa ser verificada.

As pessoas precisam receber informações oficiais de alerta e seguir as recomendações do Ministério da Segurança Pública , do Ministério da Informação e Comunicações e da Polícia Local. Não compartilhe arquivos suspeitos nas redes sociais para evitar a disseminação. Aumente a vigilância para proteger a segurança da rede nacional.

O surgimento do malware Valley RAT exatamente no momento dos comentários sobre os documentos preliminares do 14º Congresso Nacional do Partido demonstra que os cibercriminosos estão explorando ao máximo a confiança dos usuários em documentos políticos e administrativos.

A segurança da informação não é apenas responsabilidade de agências especializadas, mas também dever de cada indivíduo que utiliza dispositivos digitais. A identificação correta, a ação rápida e a comunicação oportuna contribuirão significativamente para a proteção do sistema nacional de informação e para a manutenção da segurança no ciberespaço.