Una nueva campaña de ciberataques está utilizando páginas falsas de descarga de Microsoft Teams para distribuir una variante avanzada de ValleyRAT, un malware de acceso remoto diseñado para espiar a las víctimas, robar información sensible y mantener comunicación con servidores de mando y control. La operación combina ingeniería social, instaladores troyanizados y técnicas de ejecución en varias fases para dificultar su detección por parte de las soluciones de seguridad.
Según la información analizada, la campaña fue observada por primera vez a mediados de abril en la plataforma X y emplea dominios fraudulentos como team-securecall[.]com y teamszs[.]com, diseñados para imitar la apariencia de la página oficial de descarga de Microsoft Teams. El objetivo es claro: convencer al usuario de que está descargando una aplicación legítima cuando, en realidad, está instalando malware en su equipo.
Instaladores falsos de Microsoft Teams como señuelo
Los ciberdelincuentes están distribuyendo archivos ZIP con nombres que simulan instaladores de Teams, entre ellos 98653.2.87.teamsx.zip, 571.0.2.6.8.97teamsxb.zip y 521.0.3.6.987teamsx.zip. Una vez que la víctima descarga y ejecuta el archivo, se inicia un instalador malicioso basado en NSIS, una tecnología legítima utilizada habitualmente para crear asistentes de instalación en Windows.
La estrategia resulta especialmente efectiva porque el instalador no se limita a desplegar el malware. También instala una aplicación auténtica de Microsoft Teams y crea un acceso directo en el escritorio, lo que ayuda a mantener la apariencia de normalidad. Para el usuario, todo puede parecer una instalación convencional. Sin embargo, en segundo plano se ejecuta una cadena de infección mucho más compleja.
Durante el proceso, el instalador deja en el sistema varios componentes maliciosos, entre ellos un cargador, una DLL denominada utility.dll y otros binarios de apoyo. Estos elementos permiten avanzar hacia las siguientes fases del ataque sin levantar sospechas inmediatas.
Abuso de binarios legítimos y carga lateral de DLL
Uno de los aspectos más relevantes de esta campaña es el uso de la técnica conocida como DLL sideloading o carga lateral de DLL. Los atacantes utilizan GameBox.exe, un ejecutable legítimo desarrollado por Tencent, para cargar una DLL maliciosa bajo la apariencia de una aplicación confiable.
Esta técnica permite que el código malicioso se ejecute dentro del contexto de un binario legítimo, lo que puede ayudar a evadir algunos controles de seguridad. En la práctica, el malware no se presenta directamente como una amenaza evidente, sino que se camufla dentro de un proceso aparentemente fiable.
Además, ValleyRAT modifica la configuración de Windows Defender mediante comandos de PowerShell para excluir su directorio de trabajo y sus componentes maliciosos de los análisis de seguridad. También copia archivos en el directorio ProgramData y les asigna atributos ocultos para reducir su visibilidad ante el usuario.
Persistencia y ejecución en memoria
La campaña también incorpora mecanismos de persistencia. El malware crea un servicio llamado _CCGDAT, configurado para ejecutarse automáticamente cada vez que se inicia el sistema. De esta forma, ValleyRAT puede mantenerse activo incluso después de reinicios.
Otra técnica destacada es el uso de cargas cifradas. El malware descifra en memoria un archivo llamado user.dat, protegido mediante AES, utilizando API criptográficas de Windows. El contenido descifrado actúa como cargador de shellcode y se inyecta en el proceso actual mediante CreateThread.
Este enfoque permite ejecutar código malicioso directamente en memoria, sin necesidad de escribir todas las cargas útiles en disco. Para los atacantes, esto supone una ventaja importante, ya que reduce la probabilidad de detección por parte de antivirus tradicionales y dificulta el análisis forense.
Las fases posteriores del malware también recurren al hashing de API para resolver dinámicamente funciones de Windows y evitar el análisis estático. La carga útil final se obtiene desde un servidor de comando y control, cifrada mediante una rutina XOR personalizada y descifrada en tiempo de ejecución. Esta arquitectura permite a los operadores modificar la carga final en cualquier momento, adaptando las capacidades del ataque según sus objetivos.
Robo de información y vigilancia de la víctima
Una vez desplegado, ValleyRAT puede realizar tareas de vigilancia y exfiltración de datos. Entre sus capacidades figuran el monitoreo del portapapeles mediante GetClipboardData, lo que permite capturar credenciales, direcciones de billeteras de criptomonedas u otra información sensible copiada por la víctima.
El malware también puede registrar pulsaciones de teclado, recopilar datos del portapapeles y mantener comunicación continua con su infraestructura de mando y control a través de TCP. Esta conexión permite recibir instrucciones, ejecutar nuevas acciones y filtrar la información robada.
Los indicadores técnicos observados, junto con artefactos en chino y similitudes con campañas anteriores, apuntan a una posible vinculación con SilverFox APT, un grupo asociado a actores de amenazas chinos.
