近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现ValleyRAT恶意软件出现新变种。该恶意软件主要针对政府机构及企业财务、销售等关键岗位人员实施攻击并窃取敏感业务数据。

ValleyRAT是一款基于C++的远程访问木马，具备多阶段攻击能力和虚拟环境逃逸特性。新变种通过伪造Chrome浏览器安装包、钓鱼邮件等进行传播。攻击者利用伪造的.NET可执行文件触发感染链，通过svchost.exe进程注入监控模块，强制终止安全防护进程，并借助Valve游戏组件Tier0.dll实现隐蔽驻留。其攻击链采用多层规避手段，首先禁用AMSI反病毒接口（微软的Windows系统接口，允许反恶意软件扫描内存脚本或代码）与ETW事件追踪功能（微软提供的事件追踪技术，用于收集和分析事件数据），随后通过Donut外壳代码在内存中加载恶意载荷，规避传统磁盘扫描。植入成功后，该恶意软件会通过访问WinSta0窗口站来窃取屏幕信息、键盘输入及系统敏感信息等。

建议相关单位及用户立即组织排查，及时更新防病毒软件。启用应用程序白名单限制非授权DLL（动态链接库）加载，针对财务等重点岗位开展钓鱼邮件专项演练。谨慎点击不明来源的链接或下载运行来源不明的应用程序，加强网络安全意识培训，防范网络攻击风险。

声明：本文来自网络安全威胁和漏洞信息共享平台，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 [email protected]。