中国用户面临 ValleyRAT 恶意软件攻击

关键要点

中国的 Windows 用户正在遭遇多阶段的 ValleyRAT 恶意软件攻击。攻击始于伪造的商业或金融相关文档，这些文档在执行时会打开 Word 默认应用。恶意软件利用 registry 项和 mutex 实现持久化。ValleyRAT 的功能包括活动追踪、插件分发、文件执行、截屏、数据外泄等。

根据 Hackread 的报道，中国的 Windows 用户正遭遇一项新的攻击活动，名为 ValleyRAT 恶意软件。这些攻击以伪造的商业或金融相关文档为起点，这些文档在被执行时会启动 Word 默认应用，同时建立 mutex 并更改注册表项，以确保在系统中持久存在。

根据 Fortinet FortiGuard Labs 的报告，攻击者随即会使用 shellcode 实现隐秘的恶意软件加载进入内存，最终下载 ValleyRAT。这一恶意软件不仅可以跟踪活动和分发任意插件，还具备文件执行、截屏以及数据外泄等功能。FortiGuard Labs 研究人员还指出，ValleyRAT 使得注册表操作和系统功能接管变得可行。

这些发现与之前的研究报告相一致，ValleyRAT 曾被用于攻击金融、销售、电子商务及管理等组织，并与怀疑的高级持续威胁行动银狐Silver Fox有关联。