ValleyRAT木马更新，增强恶意功能

关键要点

ValleyRAT木马新增屏幕截图、进程过滤、Windows事件日志删除和强制关机功能。该攻击活动通过安装下载器来获取DLL文件，干扰WinRAR和奇虎360反恶意软件。研究人员指出，这种多阶段感染机制能够更好地绕过基于主机的安全防护。Fortinet报告还提到，Agent Tesla木马的更新版本在攻击中利用了旧的Excel插件漏洞。

中国相关的ValleyRAT木马已更新，新增屏幕截图捕获、进程过滤、Windows事件日志删除和强制关机等功能，作为新的恶意软件攻击活动的一部分，《黑客新闻》 报道。

根据Zscaler ThreatLabz的报告，此次活动的入侵涉及部署下载器，帮助检索一个DLL提取文件，而该DLL会干扰WinRAR和奇虎360的反恶意软件，随后再下载其他文件，最终导致ValleyRAT的执行。

研究人员表示：“ValleyRAT利用复杂的多阶段过程来感染系统，最终有效载荷执行大部分恶意操作。这样的分阶段方法结合DLL侧载，可能旨在更好地规避基于主机的安全解决方案，例如EDR和杀毒软件。”

免费加速器梯子推荐

这些发现紧随Fortinet FortiGuard Labs报告，该报告详细说明了一种更新版的Agent Tesla木马变体，在攻击活动中利用旧的Microsoft Excel插件缺陷，引入了更广泛的数据窃取功能。

“这一系列更新和新攻击方式显示了网络犯罪者的持续创新与适应能力。”