Malware-ul Valak fură date corporative utilizând servere Microsoft Exchange

Experții companiei Cyberreason Nocturnus au publicat un raport potrivit căruia Valak, descoperit și clasificat în anul 2019 ca încărcător de malware, poate fi utilizat în prezent drept malware independent, acesta vizând atât persoane, dar mai ales companii.

Valak se răspândește prin atacuri tip phishing și documente Microsoft Word ce conțin macro-uri dăunătoare.

valak-1

Astfel, dacă Valak a intrat în sistem, un fișier .DLL intitulat U.tmp este descărcat în mașina infectată și salvat într-un folder temporar. Apoi se execută WinExec API și se încarcă un cod JavaScript, stabilindu-se astfel conexiunea cu serverele de gestionare. După aceea, fișiere suplimentare sunt descărcate în gazda infectată, fiind decodate cu Base64 și XOR.

Valak-45

Pentru a se instala și mai temeinic într-un sistem compromis, malware-ul aduce modificări regiștrilor și generează o sarcină programată, Valak continuând să descarce și să ruleze modulele responsabile pentru detectarea și furtul datelor.

Cele două playload principale (project.aspx și a.aspx) îndeplinesc funcții diferite. Prima gestionează cheile de registru, programarea sarcinilor și activitatea dăunătoare, iar a doua (nume intern PluginHost.exe) reprezintă un fișier executabil pentru gestionarea componentelor suplimentare ale malware-ului.

Modulul ManagedPlugin are o varietate de funcții: colectează informații despre sistem (date locale și domenii), are o funcție Exchgrabber al cărei scop este să pătrundă Microsoft Exchange prin furtul de credențiale și certificate de domeniu, are funcție de verificare a geolocalizării și captură de ecran; conține un instrument Netrecon pentru inspectarea rețelei.

Valak-29

Furtul datelor confidențiale oferă atacatorilor accesul la utilizatorul domeniului intern, adică acces la serviciile de poștă internă ale respectivei organizații, precum și acces la certificatul de domeniu al acesteia.

Valak-51

Deținând systeminfo, atacatorii pot să-și dea seama care utilizator este administratorul domeniului, aparând riscul scurgerilor de date confidențiale sau cyber spionaj. Acest aspect demonstrează că malware-ului Valak vizează în primul rând întreprinderile.

Sursa: https://xakep.ru/2020/05/28/valak/