【安全事件】年关将至，警惕以税务稽查名义的微信蠕虫钓鱼

通过对钓鱼链接进行分析，发现目前点击用户数已逾千人，对远控木马及攻击者进行分析跟踪，发现攻击者使用了自主开发且具备多种对抗技术的ValleyRAT木马程序，同时为了躲避安全软件查杀，黑产团伙还频繁更新木马文件并更换C2地址。

2.1 一阶段样本分析

此木马采用了多阶段方式执行，以躲避安全软件查杀。其中一阶段样本为自主开发，包含的编译路径为：C:\Users\Rat5700\Desktop\远程管理系统4.0源码2022带后台桌面\远程管理系统4.0源码\ceshi\Release\Install.pdb。

样本执行后，将从C2服务器下载DLL文件到目标主机内存中加载执行。首先会检查安全软件进程，并尝试通过进程提权，结束相关进程，随后将自身拷贝至当前用户的Documents目录。

尝试结束的安全软件进程主要为流行的国产装机软件，包括：360安全卫士、金山毒霸、腾讯电脑管家等。

该木马通过修改注册表，伪装成系统升级助手（System Upgrade Assistant）进行持久化驻留。

最终DLL文件通过进程注入方式启动执行，进程启动参数为msiexec.exe -Puppet。

2.2 二阶段样本分析

木马通过替换某深圳科技公司开发软件中的XZWidgetImp.dll文件，以DLL侧加载方式执行，并将主程序伪装为Edge浏览器进程。

msedge.exe通过加载XZWidgetImp.dll实现木马功能，通过读取DAT.dat文件，使用RC4算法进行解密，并加载到内存执行。

DLL文件运行后，首先会通过进程特征、内存及磁盘大小等信息，检测主机是否为沙箱环境。

根据DLL文件中命令特征，判断为ValleyRAT木马，该木马最早于2023年3月被研究人员捕获，早期主要通过钓鱼邮件进行传播。