瓦拉克(Valak)去年年底首次成为其他威胁的装载机。但是,在过去的六个月中,事实证明是信息获取者。
根据ZDNET,该恶意软件是在积极的运动中看到的,并针对美国和德国实体。但是,夜间夜间安全团队表示,恶意软件已演变为“窃取信息,以瞄准个人和企业”。
该恶意软件的最新版本旨在窃取Microsoft Exchange服务器上的企业邮件信息,密码和企业证书。有了这样的入侵,Valak可能会访问关键的企业帐户,从而导致组织损害,品牌退化甚至消费者信任的损失。
瓦拉克的巨大转变
本月初,瓦拉克以前与Ursnif捆绑在一起冰岛银行特洛伊木马内容(1,,,,2)。
瓦拉克(Valak)先前在2019年底被网络安全研究人员归类为恶意软件装载机。随着过去六个月的大修经历了20多个版本的修订版,从加载者转移到独立威胁。
它使用Microsoft Word文档通过网络钓鱼攻击进入机器。这些包含恶意宏,例如一个名为“ U.TMP”的.dll文件,然后将其下载并存储在临时文件夹中。
下载JavaScript代码时,将进行Winexec API调用,并构建命令和控制服务器的链接。此外,在安装主有效载荷时,下载并使用base64和XOR密码进行解码。
为了在受感染的机器上保持持久性,设置了注册表键和值,并在Valek下载时创建了计划的任务,并执行侦察和数据盗窃的其他模块。
两个主要有效载荷执行不同的功能。该项目.ASPX管理注册表键,恶意活动的任务计划以及持久性,而A.ASPX名为PluginHost.exe的A.ASPX是可以执行的,可以管理其他组件。
同时,Valak的“ ManagedPlugin”模块特别感兴趣,该模块包含一个系统信息获取器,该信息获取器收集本地和域数据。 “ iffergrabber”功能旨在通过窃取凭据和域许可证,屏幕截图捕获,地理位置验证器和称为“ NetRecon”的网络侦察工具来渗透Microsoft Exchange。
此外,恶意软件还将搜集感染的机器以购买现有的防病毒产品。
在针对Microsoft Exchange Server的攻击中,最新的Valak变体在被认为是以企业为中心的攻击中进行了攻击。
研究人员说,提取这些敏感数据将使攻击者“访问企业内部邮件服务的内部域用户”,并进入企业域证书。 “有了系统信息,攻击者可以识别哪个用户是域管理员,”这将形成危险的数据泄漏,广泛的网络间谍活动或信息盗窃。研究人员补充说:“这也表明,该恶意软件的预期目标是首先也是最重要的企业。”
恶意软件现已在版本24上。尽管瓦拉克,厄森夫和伊塞德之间的联系尚不清楚,但研究人员认为,它可能涉及“个人联系”和“相互信任”,因为瓦拉克的守则暗示着所谓的俄语地下社会的联系。
