Você procurou o navegador Chrome e, sem perceber, baixou um instalador que parecia legítimo — até que o seu computador passou a agir como se tivesse alguém sentado à frente do teclado. Essa é a história real por trás de como sites falsos do Google Chrome distribuem ValleyRAT por meio de sequestro de DLL, uma técnica que mistura engenharia social, instaladores adulterados e abuso de componentes legítimos para instalar trojans de acesso remoto.

Neste artigo eu explico, em linguagem direta, como essa campanha funciona, por que ela é perigosa, quem está por trás — e, mais importante, o que você pode fazer para não virar o próximo alvo.

O que é o ValleyRAT e quem o usa?

ValleyRAT é um trojan de acesso remoto (RAT) detectado pela primeira vez em 2023. Projetado em C++ e compilado em chinês, ele permite aos invasores monitorar telas, registrar teclas (keylogging), manter persistência e carregar DLLs e binários adicionais sob comando remoto.

Pesquisadores atribuem campanhas recentes ao grupo apelidado de Silver Fox, que tem foco estratégico em cargos financeiros e de vendas — perfis com acesso a informações e sistemas valiosos.

Como a campanha funciona: passo a passo

  1. Sites falsos do Chrome: usuários são atraídos por páginas que parecem a página oficial de download do Chrome.
  2. Download do instalador malicioso: o site oferece um ZIP com um “Setup.exe”.
  3. Execução do instalador: o binário verifica privilégios de administrador e baixa quatro arquivos adicionais.
  4. Sideloader legítimo: um executável legítimo (por exemplo, “Douyin.exe”) é usado para realizar sideload de uma DLL maliciosa (“tier0.dll”) — essa é a técnica de sequestro de DLL.
  5. Persistência e controle: a DLL maliciosa inicia o ValleyRAT e outras componentes (como “sscronet.dll”) gerenciam exclusões e encerramentos de processos.

O papel do sequestro de DLL (DLL hijacking)

No sequestro de DLL, invasores abusam da Search Order — a ordem em que o Windows procura por DLLs — para carregar uma biblioteca maliciosa no lugar de uma legítima. Quando um executável confiável (assinado) carrega uma DLL, o sistema pode preferir uma versão colocada no mesmo diretório. Os atacantes exploram essa ordem para “colar” código malicioso em processos confiáveis.

Por que essa campanha é especialmente perigosa?

  • Confiança explorada: o usuário busca um software legítimo (Chrome) — a confiança é a isca perfeita.
  • Assinaturas legítimas usadas: executáveis assinados são abusados para reduzir detecção.
  • Multietapas: a cadeia baixa múltiplas cargas, dificultando análises rápidas.
  • Foco em alvos de alto valor: funções financeiras e contábeis são visadas para maximizar impacto.

Indicadores de comprometimento (IoCs) e sinais visíveis

Nem tudo precisa de um perito para notar que algo está errado. Fique atento a:

  • Downloads de instaladores de sites não oficiais ou links desconhecidos.
  • Arquivos ZIP desconhecidos contendo “Setup.exe”.
  • Processos estranhos como “Douyin.exe” rodando sem motivo aparente.
  • DLLs inesperadas no diretório do executável (tier0.dll, sscronet.dll).
  • Comportamentos de keylogging, lentidão e janelas pop-up de conexões remotas.

Tabela: comparação técnica — ValleyRAT x outros RATs

Característica ValleyRAT Gh0st RAT / Purple Fox
Primeira detecção 2023 Gh0st (muito anterior), Purple Fox (várias campanhas)
Plataforma Windows (C++) Windows
Método de distribuição Sites falsos + sequestro de DLL Pacotes de instalação/drive-by, anexos
Funcionalidades Keylogging, screen capture, persistência, carregamento de DLLs Semelhantes (varia por família)

Quem é mais visado?

As campanhas têm foco predominante em usuários de língua chinesa (Hong Kong, Taiwan, China continental), com iscas e páginas em chinês. Mas a técnica em si é universal: qualquer usuário que busque software popular por fontes não oficiais pode ser vítima — e ataques semelhantes já usaram instaladores falsos do Chrome para entregar outros RATs, então não pense que está imune só por localização.

Como se proteger — medidas práticas e imediatas

Aqui vão ações que qualquer pessoa ou equipe de TI pode aplicar agora:

  1. Baixe sempre dos sites oficiais: use google.com/chrome ou os repositórios oficiais do fabricante.
  2. Verifique assinaturas digitais: antes de executar um instalador, confira a assinatura do arquivo.
  3. Use proteção em camadas: EDR/AV atualizados, filtragem de downloads e análise de comportamento.
  4. Bloqueie execução de DLLs em diretórios não esperados: políticas de Application Control (AppLocker/WDAC).
  5. Eduque usuários: campanhas de phishing e sites falsos funcionam pela confiança — treine sua equipe para desconfiar de downloads “por fora”.
  6. Monitoramento e resposta: proativamente caçar IoCs (setup.exe, tier0.dll, sscronet.dll) e isolar hosts suspeitos.

Analogias práticas para entender a técnica

Pense no sequestro de DLL como alguém trocando a fechadura da porta por uma idêntica, mas com chave mestra para o ladrão. O morador entra, acha que está tudo normal — mas, de dentro, o invasor tem acesso total.

Caso real curto

Em uma pequena empresa financeira, um funcionário baixou um instalador “do Chrome” de um link recebido por pesquisa. Em 24 horas, a TI detectou tráfego anômalo: uploads para um servidor desconhecido e um processo inusitado rodando. O rápido isolamento permitiu limpar a máquina antes que dados sensíveis fossem exfiltrados.

Reflexão final

O relato de como sites falsos do Google Chrome distribuem ValleyRAT por meio de sequestro de DLL é um alerta claro: a combinação de engenharia social com técnicas de carregamento abusivo pode burlar muitas defesas tradicionais. A segurança moderna exige não só tecnologia, mas processos — verificação de fontes, políticas de execução rigorosas e treinamento contínuo de usuários. Na corrida entre defensores e atacantes, a atenção ao detalhe costuma ser a diferença entre um susto e uma violação grave.


O Futuro do seu Site Começa com um Teste Grátis!

Na Hostbung, seu projeto encontra tudo o que precisa para crescer e permanecer online, 24 horas por dia. Mais do que uma provedora de hospedagem de sites com infraestrutura de ponta, somos uma parceira em todas as etapas da sua jornada digital.
Acreditamos em facilitar sua vida e em construir uma comunidade que realmente faz a diferença. Queremos que você faça parte disso! Por isso, estamos oferecendo uma Hospedagem de site com 30 dias grátis, ou Revenda de hospedagem com 30 dias grátis para você conhecer nosso serviço sem nenhum compromisso.