瓦拉克(Valak)去年年底首次成為其他威脅的裝載機。但是,在過去的六個月中,事實證明是信息獲取者。
根據ZDNET,該惡意軟件是在積極的運動中看到的,並針對美國和德國實體。但是,夜間夜間安全團隊表示,惡意軟件已演變為“竊取信息,以瞄準個人和企業”。
該惡意軟件的最新版本旨在竊取Microsoft Exchange服務器上的企業郵件信息,密碼和企業證書。有了這樣的入侵,Valak可能會訪問關鍵的企業帳戶,從而導致組織損害,品牌退化甚至消費者信任的損失。
瓦拉克的巨大轉變
本月初,瓦拉克以前與Ursnif捆綁在一起冰島銀行特洛伊木馬內容(1,,,,2)。
瓦拉克(Valak)先前在2019年底被網絡安全研究人員歸類為惡意軟件裝載機。隨著過去六個月的大修經歷了20多個版本的修訂版,從加載者轉移到獨立威脅。
它使用Microsoft Word文檔通過網絡釣魚攻擊進入機器。這些包含惡意宏,例如一個名為“ U.TMP”的.dll文件,然後將其下載並存儲在臨時文件夾中。
下載JavaScript代碼時,將進行Winexec API調用,並構建命令和控制服務器的鏈接。此外,在安裝主有效載荷時,下載並使用base64和XOR密碼進行解碼。
為了在受感染的機器上保持持久性,設置了註冊表鍵和值,並在Valek下載時創建了計劃的任務,並執行偵察和數據盜竊的其他模塊。
兩個主要有效載荷執行不同的功能。該項目.ASPX管理註冊表鍵,惡意活動的任務計劃以及持久性,而A.ASPX名為PluginHost.exe的A.ASPX是可以執行的,可以管理其他組件。
同時,Valak的“ ManagedPlugin”模塊特別感興趣,該模塊包含一個系統信息獲取器,該信息獲取器收集本地和域數據。 “ iffergrabber”功能旨在通過竊取憑據和域許可證,屏幕截圖捕獲,地理位置驗證器和稱為“ NetRecon”的網絡偵察工具來滲透Microsoft Exchange。
此外,惡意軟件還將蒐集感染的機器以購買現有的防病毒產品。
在針對Microsoft Exchange Server的攻擊中,最新的Valak變體在被認為是以企業為中心的攻擊中進行了攻擊。
研究人員說,提取這些敏感數據將使攻擊者“訪問企業內部郵件服務的內部域用戶”,並進入企業域證書。 “有了系統信息,攻擊者可以識別哪個用戶是域管理員,”這將形成危險的數據洩漏,廣泛的網絡間諜活動或信息盜竊。研究人員補充說:“這也表明,該惡意軟件的預期目標是首先也是最重要的企業。”
惡意軟件現已在版本24上。儘管瓦拉克,厄森夫和伊塞德之間的聯繫尚不清楚,但研究人員認為,它可能涉及“個人聯繫”和“相互信任”,因為瓦拉克的守則暗示著所謂的俄語地下社會的聯繫。
