Golpes, Inteligência de Ameaças

Site falso de segurança Huorong infecta utilizadores com ValleyRAT

por Stefan Dasic | 23 de fevereiro de 2026
Logótipo Huorong com RAT

Uma versão convincente do popular antivírus Huorong Security foi usada para distribuir o ValleyRAT, um sofisticado Trojan de Acesso Remoto (RAT) construído na estrutura Winos4.0, a utilizadores que acreditavam estar a melhorar a sua segurança.

A campanha, atribuída ao grupo Silver Fox APT — um grupo de ameaças de língua chinesa conhecido por distribuir versões trojanizadas de softwares chineses populares — usa um domínio typosquatted para servir um instalador NSIS trojanizado que implanta um backdoor completo com recursos avançados de camuflagem e injeção em modo de utilizador.

Um site falso criado para atrair utilizadores preocupados com a segurança

Huorong Security — conhecido em chinês como 火绒 — é um produto antivírus gratuito desenvolvido pela Beijing Huorong Network Technology Co., Ltd. e amplamente utilizado na China continental.

Os atacantes registaram huoronga[.]com — repare no «a» extra no final — como uma imitação quase perfeita do site legítimo huorong.cn. Essa técnica de typosquatting captura utilizadores que digitam o endereço incorretamente ou chegam ao site por meio de links de phishing ou de mecanismos de pesquisa corrompidos. O site falso parece convincente o suficiente para que a maioria dos visitantes não tenha motivos óbvios para suspeitar que algo está errado.

Site falso da Huorong Security

Outro site falso da Huorong Security

Quando um visitante clica no botão de download, a solicitação é silenciosamente encaminhada através de um domínio intermediário (hndqiuebgibuiwqdhr[.]cyou) antes que a carga útil final seja servida a partir do armazenamento Cloudflare R2 — um serviço em nuvem legítimo escolhido por sua reputação confiável e disponibilidade. O ficheiro é denominado BR火绒445[.]zip, utilizando o nome chinês para Huorong para manter o disfarce até ao momento da execução.

O que acontece depois de clicar em «descarregar»

Dentro do arquivo ZIP está um instalador NSIS (Nullsoft Scriptable Install System) trojanizado, uma estrutura de código aberto legítima usada por muitos aplicativos reais. Seu uso aqui é deliberado: um executável criado com NSIS levanta menos suspeitas do que um empacotador personalizado, e a experiência de instalação parece normal.

Quando executado, o instalador cria um atalho na área de trabalho chamado 火绒.lnk (Huorong.lnk), reforçando a ilusão de que o antivírus foi instalado com sucesso.

Ao mesmo tempo, extrai um conjunto de ficheiros para o diretório Temp do utilizador. A maioria são bibliotecas de suporte genuínas ou executáveis falsos destinados a imitar uma instalação real, incluindo cópias de DLLs multimédia FFmpeg, um ficheiro que se faz passar por uma ferramenta de reparação .NET e outro que imita um utilitário de diagnóstico Huorong.

Os componentes maliciosos incluem:

  • WavesSvc64.exe: o carregador principal, disfarçado como um processo de serviço de áudio Waves
  • DuiLib_u.dll: uma biblioteca DirectUI sequestrada usada para sideloading de DLL
  • box.ini: um ficheiro encriptado que contém código shell

Como Windows enganado para carregar malware

A técnica principal é o sideloading de DLL, uma técnica que os atacantes utilizam para enganar Windows carregue um ficheiro malicioso em vez de um legítimo.

O WavesSvc64.exe parece legítimo — o seu caminho PDB refere-se a um diretório de código de aplicativo de jogos —, portanto, Windows o Windows sem reclamar. Quando ele é executado, Windows carrega Windows o DuiLib_u.dll junto com ele. Essa DLL foi substituída por uma versão maliciosa que lê o shellcode criptografado do box.ini, descriptografa-o e o executa diretamente na memória.

Em vez de soltar um único executável monolítico de backdoor, a cadeia culmina na execução de shellcode na memória carregado a partir de ficheiros colocados no disco (por exemplo, box.ini) através de sideloading de DLL. A cadeia baseada em shellcode é consistente com o padrão do carregador Catena documentado pela Rapid7, em que executáveis assinados ou com aparência legítima agrupam código de ataque em ficheiros de configuração .ini e usam injeção reflexiva para executá-lo, deixando um rasto forense mínimo.

Como a porta dos fundos se torna permanente

A análise comportamental mostra uma cadeia de infeção metódica:

1. Exclusões de defensores
O malware gera o PowerShell em um nível de integridade elevado e instrui Windows a ignorar o seu diretório de persistência (AppData\Roaming\trvePath) e o seu processo principal (WavesSvc64.exe). Após a execução destes comandos, Windows fica menos propenso a verificar o caminho/processo escolhido pelo malware, reduzindo significativamente a deteção nativa.

2. Persistência
Cria uma tarefa agendada chamada Baterias (observada como C:\Windows\Tasks\Batteries.job). Em cada inicialização subsequente, a tarefa é iniciada. WavesSvc64.exe /run a partir do diretório de persistência, reaplica as exclusões do Defender e reconecta-se ao comando e controlo (C2).

3. Atualização de ficheiros
Para evitar a deteção baseada em assinaturas, o malware elimina e reescreve os ficheiros WavesSvc64.exe, DuiLib_u.dll, libexpat.dll, box.ini e vcruntime140.dll. A eliminação destes ficheiros por si só pode não remediar totalmente a infeção, uma vez que o malware demonstra a capacidade de reescrever componentes essenciais durante a execução.

4. Armazenamento do registo
Os dados de configuração, incluindo o domínio C2 codificado yandibaiji0203.[]com, são gravados em HKCU\SOFTWARE\IpDates_info. Uma chave secundária em HKCU\Console\0\451b464b7a6c2ced348c1866b59c362e armazena dados binários encriptados provavelmente utilizados para configuração de malware ou preparação de carga útil.

Como evita a deteção

Além de desativar o Defender, o ValleyRAT toma medidas para evitar a deteção e a análise.

Ele verifica se há depuradores e ferramentas forenses procurando títulos de janelas característicos. Ele sonda a versão do BIOS, adaptadores de vídeo e chaves de registo do VirtualBox para detectar máquinas virtuais — as sandboxes que os pesquisadores usam para analisar malware com segurança. Ele também verifica a memória disponível e a capacidade do disco, além de inspecionar as configurações regionais e de idioma, provavelmente como uma medida de geofencing para confirmar que está a ser executado em um sistema em chinês antes de ser totalmente implantado.

Comunicações de comando e controlo

O Winos4.0 stager liga-se ao seu servidor C2 em 161.248.87.250 através da porta TCP 443. A utilização do TCP 443 proporciona camuflagem ao nível da porta; no entanto, a inspeção revelou um protocolo binário personalizado em vez do HTTPS padrão encriptado por TLS.

Os sistemas de deteção de intrusão na rede acionaram alertas de gravidade crítica para mensagens de login e resposta do servidor Winos4.0 CnC, e um alerta de alta gravidade para a inicialização do ProcessKiller C2.

Foi observado tráfego C2 com origem em rundll32.exe, which executed with the command line “rundll32.exe”—lacking the typical <DLL>,<Export> argument structure. In environments with command-line and parent-child process monitoring, this execution pattern is a high-confidence anomaly. Sandbox analysis extracted multiple WinosStager plugin DLLs from the rundll32 process, confirming the modular architecture that makes ValleyRAT particularly dangerous: capabilities are not bundled in a single monolithic binary but downloaded on demand.

O componente ProcessKiller é particularmente preocupante. A telemetria de rede indica a inicialização do ProcessKiller C2, consistente com um módulo associado em relatórios anteriores com o encerramento de software de segurança. Campanhas anteriores do ValleyRAT/Winos4.0 tinham como alvo produtos de segurança da Qihoo 360, Huorong, Tencent e Kingsof — indicando o potencial para encerrar software de segurança, incluindo o produto que ele fingia ser como isca.

Recursos pós-comprometimento

Em suma, uma vez instalado, os atacantes podem monitorizar a vítima, roubar informações confidenciais e controlar remotamente o sistema. A análise em sandbox confirmou os seguintes comportamentos assim que o malware se instala:

  • Keylogging através de um gancho de teclado em todo o sistema instalado através do SetWindowsHookExW no processo rundll32, capturando cada tecla pressionada.
  • Injeção de processos: O WavesSvc64.exe cria processos suspensos e grava na memória de outros processos para a execução furtiva de código.
  • Acesso às credenciais: o malware lê as chaves do registo relacionadas com as credenciais e acede aos ficheiros de cookies do navegador.
  • Reconhecimento do sistema: consulta o nome do host, nome de utilizador, layout do teclado, localidade, processos em execução e unidades físicas.
  • Regiões de memória RWX criadas dentro do rundll32.exe consistentes com a execução na memória, reduzindo a dependência de executáveis de carga útil adicionais.
  • Autolimpeza: elimina os seus próprios ficheiros executados e realiza a eliminação de 10 ou mais ficheiros adicionais para impedir a recuperação forense.
  • O malware cria mutexes incluindo a string datada 2026. 2. 5 e o caminho C:\ProgramData\DisplaySessionContainers.log, e grava um ficheiro de registo nesse local.

Quem está por trás desta campanha?

Esta campanha segue o padrão estabelecido das operações do Silver Fox. O grupo tem usado repetidamente instaladores trojanizados de software chinês amplamente confiável para distribuir o ValleyRAT e a estrutura Winos4.0. Iscas anteriores incluíram o QQ Browser, o LetsVPN e aplicações de jogos.

Fingir ser um produto de segurança aumenta os riscos. As vítimas não são apenas utilizadores casuais — elas estão ativamente à procura de proteção.

O alvo permanece consistente. Nomes de ficheiros em chinês, a isca Huorong e verificações de localização integradas apontam para uma campanha com foco geográfico.

No entanto, o vazamento público do construtor ValleyRAT no GitHub em março de 2025 reduziu significativamente a barreira de entrada. Os investigadores identificaram aproximadamente 6.000 amostras relacionadas entre novembro de 2024 e novembro de 2025, com 85% aparecendo na segunda metade desse período. Esse aumento sugere que a ferramenta está a se espalhar para além de um único operador.

Como se manter seguro

Esta campanha mostra como a confiança pode ser facilmente usada contra os utilizadores. Os atacantes não precisaram de uma exploração zero-day. Precisavam apenas de um site convincente, um instalador realista e o conhecimento de que muitas pessoas pesquisariam o nome de um produto e clicariam no primeiro resultado.

Quando o atrativo é um produto de segurança, o engano é ainda mais eficaz.

Aqui está o que deve verificar:

  • Verifique as fontes de download. O site legítimo da Huorong Security é huorong.cn. Sempre verifique o domínio antes de baixar um software de segurança — um único caractere a mais pode levar a um site malicioso.
  • Monitorize as exclusões Windows . Qualquer comando Add-MpPreference que não tenha sido iniciado por si é um forte indicador de comprometimento. Audite as exclusões regularmente.
  • Procura por artefactos de persistência. Pesquise pontos finais para uma tarefa ou trabalho agendado chamado Batteries (artefato observado como C:\Windows\Tasks\Batteries.job), o %APPDATA%\trvePath\ diretório e a chave do registo HKCU\SOFTWARE\IpDates_info.
  • Bloqueie as ligações de saída para 161.248.87.250 no firewall e implemente regras IDS para assinaturas Winos4.0 C2 (ET SIDs 2052875, 2059975 e 2052262).
  • Alerta sobre anomalias no processo. Rundll32.exe sem um argumento DLL legítimo e WavesSvc64.exe fora de uma instalação genuína do Waves Audio são indicadores de alta confiança.

Malwarebytes e bloqueia variantes conhecidas do ValleyRAT e a sua infraestrutura associada.

Indicadores de compromisso (IOCs)

Infraestrutura

  • Sites falsos:
    • huoronga[.]com
    • huorongcn[.]com
    • huorongh[.]com
    • huorongpc[.]com
    • huorongs[.]com
  • Redirecionar domínio: hndqiuebgibuiwqdhr[.]cyou
  • Host de carga útil: pub-b7ce0512b9744e2db68f993e355a03f9.r2[.]dev
  • C2 IP: 161.248.87[.]250 (TCP 443, protocolo binário personalizado)
  • Domínio C2 codificado: yandibaiji0203[.]com

Hashes de ficheiros (SHA-256)

  • 72889737c11c36e3ecd77bf6023ec6f2e31aecbc441d0bdf312c5762d073b1f4  (Instalador NSIS)
  • db8cbf938da72be4d1a774836b2b5eb107c6b54defe0ae631ddc43de0bda8a7e  (WavesSvc64.exe)
  • d0ac4eb544bc848c6eed4ef4617b13f9ef259054fe9e35d9df02267d5a1c26b2  (DuiLib_u.dll)
  • 07aaaa2d3f2e52849906ec0073b61e451e0025ef2523dafbd6ae85ddfa587b4d  (WinosStager DLL #1)
  • 66e324ea04c4abbad6db4f638b07e2e560613e481ff588e0148e33e23a5052a9  (WinosStager DLL #2)
  • 47df12b0b01ddca9eb116127bf84f63eb31e80cec33e4e6042dff1447de8f45f  (WinosStager DLL #3)

Indicadores baseados no anfitrião

  • Tarefa agendada denominada Batteries em C:\Windows\Tasks\Batteries.job
  • Diretório de persistência: %APPDATA%\trvePath\
  • Chave do registo: HKCU\SOFTWARE\IpDates_info
  • Chave do registo: HKCU\Console\0\451b464b7a6c2ced348c1866b59c362e
  • Ficheiro de registo: C:\ProgramData\DisplaySessionContainers.log
  • Processos: WavesSvc64.exe, rundll32.exe (sem argumento DLL)

MITRE ATT&CK

  • T1189 — Comprometimento drive-by (acesso inicial)
  • T1059.001 — PowerShell (Execução)
  • T1053.005 — Tarefa agendada (persistência)
  • T1562.001 — Prejudicar as defesas: desativar ou modificar ferramentas (evasão de defesa)
  • T1574.002 — Carregamento lateral de DLL (evasão de defesa)
  • T1027 — Ficheiros ou informações ofuscados (evasão de defesa)
  • T1218.011 — Rundll32 (Evasão de Defesa)
  • T1555 — Credenciais de armazenamentos de palavras-passe (acesso a credenciais)
  • T1082 — Descoberta de informações do sistema (Descoberta)
  • T1057 — Descoberta de processos (Descoberta)
  • T1056.001 — Keylogging (Recolha)
  • T1071 — Protocolo da camada de aplicação (comando e controlo)
  • T1070.004 — Remoção de indicadores: eliminação de ficheiros (evasão de defesa)

Não nos limitamos a informar sobre as burlas - ajudamos a detectá-las

Os riscos de cibersegurança nunca devem ir além de uma manchete. Se algo lhe parecer suspeito, verifique se é uma fraude usando Malwarebytes Guard. Envie uma captura de ecrã, cole o conteúdo suspeito ou partilhe um link, texto ou número de telefone, e nós informaremos se é uma fraude ou se é legítimo. Disponível com Premium Malwarebytes Premium para todos os seus dispositivos e no Malwarebytes para iOS Android.

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan tem estado envolvido em testes de malware e controlo de qualidade de produtos AV desde muito cedo. Como parte da equipa Malwarebytes , Stefan dedica-se a proteger os clientes e a garantir a sua segurança.

ÚLTIMOS ARTIGOS

Notícias
lembrar senhas

Os gestores de palavras-passe mantêm as suas palavras-passe seguras, a menos que...

fevereiro 23, 2026

Os investigadores analisaram as alegações de conhecimento zero dos gestores de palavras-passe e descobriram alguns cenários de ataque possíveis.

Notícias
semana da segurança

Uma semana em segurança (16 a 22 de fevereiro)

fevereiro 23, 2026

Uma lista de tópicos que abordámos na semana de 16 a 22 de fevereiro de 2026

Podcast
Um cadeado ilustrado é montado num suporte de microfone com ondas sonoras emitidas pelo dispositivo.

O que não se pode dizer no TikTok?

fevereiro 22, 2026

Esta semana, no podcast Lock and Code, conversamos com Zach Hinkle e MinJi Pae sobre a nova propriedade americana do TikTok — e suas novas regras.

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes