Hanoi avertizează asupra malware-ului Valley RAT care se preface a fi „Proiectul de Rezoluție al celui de-al 14-lea Congres Național al Partidului”

Acesta este un truc care profită de mediul politic larg al oamenilor pentru a răspândi programe malware, a fura informații și a reprezenta un risc pentru securitatea sistemelor informatice ale agențiilor, organizațiilor și persoanelor fizice.

Malware-ul Valley RAT se dă drept „Proiect de Rezoluție a Congresului”

Potrivit Departamentului de Securitate Cibernetică și Prevenire a Criminalității de Înaltă Tehnologie (Poliția orașului Hanoi ), malware-ul Valley RAT este deghizat într-un fișier numit „DRAFT RESOLUTION OF THE CONGRESS.exe”. Când utilizatorul deschide fișierul, malware-ul se instalează imediat în sistem, rulează automat de fiecare dată când pornește computerul și se conectează la serverul de control (C2) de la adresa 27.124.9.13 (port 5689) controlat de hacker.

De aici, malware-ul poate efectua acțiuni periculoase: Furtul de informații sensibile de pe computerul utilizatorului; Preluarea controlului asupra computerului; Furtul de conturi personale și corporative; Colectarea de documente interne; Continuarea răspândirii malware-ului către alte dispozitive din același sistem.

Factorul periculos este că interfața fișierului este deghizată pentru a arăta ca un document administrativ real, ceea ce face ușor de confuz pentru utilizatori, mai ales în contextul în care multe unități trimit și primesc documente pentru a comenta documentele.

Mai multe fișiere malware noi descoperite

Prin scanare extinsă, autoritățile au descoperit mult mai multe fișiere rău intenționate cu structuri similare, care arătau ca niște documente administrative familiare: FINANCIAL REPORT2.exe sau BUSINESS INSURANCE PAYMENT.exe; GOVERNMENT'S URGENT OFFICIAL DISPATCH.exe; TAX DECLARATION SUPPORT.exe; PARTY ACTIVITY EVALUATION DOCUMENT.exe sau AUTHORIZATION FORM.exe; MINUTES OF RAPORT FOR THE THIRD QUARTER.exe

Aceste fișiere sunt denumite după specificul muncii de birou, finanțelor, afacerilor de partid, taxelor... crescând posibilitatea ca utilizatorii să creadă că sunt documente interne și să le deschidă, creând condiții pentru răspândirea programelor malware.

Prin analiză tehnică, Poliția orașului Hanoi a evaluat Valley RAT ca fiind deosebit de periculos, deoarece posedă caracteristici care îl transformă într-o amenințare majoră: se ascunde în sistem, pornind automat cu Windows; permite hackerilor să controleze dispozitivul de la distanță; este capabil să descarce programe malware suplimentare; colectează automat date sensibile și le trimite către serverul de control; este capabil să înregistreze apăsările de taste, să facă capturi de ecran, să fure parolele salvate în browser; se răspândește ușor în rețeaua internă a sistemului...

Multe agenții și organizații folosesc e-mailul intern sau Zalo, Facebook Messenger pentru a face schimb de documente, creând în mod neintenționat un mediu favorabil răspândirii programelor malware dacă doar un singur computer din sistem este infectat. Pentru a asigura securitatea informațiilor, Departamentul de Securitate Cibernetică și Prevenirea Criminalității de Înaltă Tehnologie din cadrul Departamentului de Poliție al orașului Hanoi a făcut recomandări specifice:

Nu deschideți și nu descărcați fișiere ciudate, fișiere .exe din e-mailuri sau rețele sociale, fiți atenți în special la fișierele cu extensiile: .exe; .dll; .bat; .msi... Chiar dacă fișierul este trimis de o cunoștință (este posibil ca contul să fi fost deturnat).

Verificați toate dispozitivele și sistemele. Atunci când detectează semne neobișnuite, utilizatorii trebuie să se deconecteze imediat de la internet; să nu continue utilizarea dispozitivului; să raporteze autorităților sau Centrului Național de Securitate Cibernetică (NCSC).

Scanați sistemul cu un software de securitate reputat. Organizațiile și persoanele fizice trebuie să instaleze proactiv software antivirus și anti-malware, cum ar fi: Avast (gratuit); AVG (gratuit); Bitdefender (gratuit); Windows Defender (ultima actualizare). În special, Poliția din Hanoi a remarcat că software-ul antivirus gratuit Kaspersky nu a detectat încă acest tip de malware.

Scanați manual pentru semne de atac. Pe lângă utilizarea software-ului antivirus și a firewall-urilor, utilizatorii trebuie să utilizeze Process Explorer pentru a vedea procese ciudate fără semnături digitale; utilizați TCPView pentru a verifica conexiunea; dacă vedeți o conexiune la IP 27.124.9.13, trebuie să o rezolvați imediat.

Administratorii de sistem trebuie să blocheze imediat adresa IP rău intenționată. Utilizatorii trebuie să configureze firewall-ul pentru a bloca tot accesul la adresa IP 27.124.9.13 pentru a împiedica malware-ul să se conecteze la serverul de control.

Consolidați avertismentele interne. Unitățile trebuie să notifice imediat ofițerii și angajații să nu deschidă în niciun caz documentele „atașate” legate de comentariile din documente dacă sursa nu poate fi verificată.

Oamenii trebuie să primească informații oficiale de avertizare, urmați recomandările de la: Ministerul Securității Publice ; Ministerul Informațiilor și Comunicațiilor; Poliția Locală; Nu distribuiți fișiere suspecte pe rețelele de socializare pentru a evita răspândirea; Creșteți vigilența pentru a proteja securitatea rețelei naționale.

Apariția malware-ului Valley RAT exact în momentul comentariilor la proiectele de documente ale celui de-al 14-lea Congres Național al Partidului arată că atacatorii cibernetici exploatează la maximum încrederea utilizatorilor în documentele politice și administrative.

Securitatea informațiilor nu este doar responsabilitatea agențiilor specializate, ci și datoria fiecărui individ care utilizează dispozitive digitale. Identificarea corectă, acțiunea rapidă și raportarea la timp vor contribui semnificativ la protejarea sistemului informațional național și la menținerea securității în spațiul cibernetic.