Valak s-a transformat dintr-un loader utilizat pentru descărcarea unor aplicații malițioase într-o amenințare independentă, un infostealer “sofisticat” ce atacă serverele Microsoft Exchange.
Malware -ul a fost identificat sfârșitul anului 2019 de către echipa Cybereason Nocturnus. Într-o perioadă de timp scurtă a suferit o serie de îmbunătățiri, fiind găsite peste 30 de versiuni, o analiză detaliată se găseşte aici.
Analiză comportamentală a malware-ului
Distribuirea acestuia se face prin atacuri de tip phishing prin documente Word ce conțin macro-uri malițioase. Odată ajuns în stația infectată, este descărcat un fișier .dll denumit u.tmp în fișierele temporare.
Apoi se face o cerere API WinExec și se descarcă un cod JavaScript, ceea ce duce la crearea de conexiuni la serverele de comandă și control (C2). Fișierele suplimentare sunt apoi descărcate, decodificate folosind Base64, iar apoi sunt implementate payload-urile.
Sunt create și modificate valori ale cheilor de regiștrii și serviciile sunt programate este creată pentru a menține persistența
Cheile de regiștrii și valorile sunt setate și este creat un schedule task pentru a menține persistența pe stația infectată. În continuare, Valek descarcă și execută module suplimentare pentru recunoaștere și furt de date.
Malware-ul conține două payload-uri cu funcții diferite, project.aspx și a.aspx. Primul gestionează cheile de registru, programarea sarcinilor pentru activități malițioase și persistență, în timp ce al doilea – numit intern PluginHost.exe – este un executabil care gestionează componentele suplimentare.
Modulul „ManagedPlugin” prezintă un interes deosebit. Funcțiile includ un program care colectează date despre sistem; funcția „Exchgrabber” care își propune să se infiltreze în Microsoft Exchange prin furtul de credențiale și certificate de domeniu, conține un verificator de localizare geografică, un software ce face capturi de ecran și „Netrecon”, un instrument ce creează topologia rețelei.În plus, malware-ul va căuta produsele antivirus existente pe stațiile infectate.
În plus, malware-ul va căuta produsele antivirus existente pe stațiile infectate.
Cele mai recente variante Valak au fost identificate în campanii ce au țintit servere Microsoft Exchange deținute de societăți cu renume.
Deși natura legăturii dintre Valak, Ursnif și IcedID nu este înțeleasă, cercetătorii sugerează că pot exista „legături personale” și „încredere reciprocă” în aceste acțiuni – iar codul malware indică legături cu comunități vorbitoare de limba rusă
Dacă v-a plăcut acest articol, sau dacă doriți să vă implicați în proiectul SecurityPatch.ro, ne puteți contacta pe Facebook, Twitter sau pe adresa de email [email protected].