HACKING

Valak Malware: Κλέβει δεδομένα από Microsoft Exchange Servers

This post was originally published on this site

Το 2019, το Valak Malware παρατηρήθηκε για πρώτη φορά, ως malware loader. Πρόσφατα όμως, έγινε γνωστό ότι το λογισμικό αυτό μπορεί να χρησιμοποιηθεί και για κλοπή δεδομένων. Πιο συγκεκριμένα, ερευνητές ανακάλυψαν μια νέα Valak Malware καμπάνια, η οποία στοχεύει τις ΗΠΑ και τη Γερμανία.

Σύμφωνα με τους ερευνητές της Cybereason, το νέο Valak Malware εξαπλώνεται χρησιμοποιώντας ένα Word αρχείο το οποίο περιέχει κομμάτι του κακόβουλου κώδικα. Το ίδιο αρχείο υπάρχει στα Αγγλικά, αλλά και στα Γερμανικά ανάλογα με την καταγωγή των χρηστών που στοχεύει.

Στη συνέχεια, εκτελείται ο κώδικας που περιλαμβάνεται στο αρχείο, ο οποίος κατεβάζει επιπλέον εργαλεία του malware. Στο πρώτο στάδιο, η επίθεση είναι fileless. Στην επόμενη φάση, το malware αρχίζει να μαζεύει διάφορα δεδομένα, όπως: δεδομένα των χρηστών, δεδομένα της συσκευής, καθώς και την τοποθεσία στην οποία βρίσκεται η συσκευή. Κατά τη διάρκεια συλλογής δεδομένων, το malware δημιουργεί και αποθηκεύει μερικά screenshots, ενώ κατεβάζει και μερικά ακόμα plugins και malware, όπως είναι το UrSnif και το IcedLD, τα οποία χρησιμεύουν σε μεταγενέστερες επιθέσεις.

Valak Malware: Κλέβει δεδομένα από τους Microsoft Exchange Servers

Ενώ στην αρχή κατασκευάστηκε ως malware loader, σήμερα, το Valak Malware είναι ένα πολύ ισχυρό εργαλείο για κλοπή δεδομένων. Η τελευταία έκδοση του λογισμικού το αποδεικνύει, καθώς σε αυτή προστέθηκαν πολλά ακόμα εργαλεία, τα οποία διευκολύνουν την λειτουργία του λογισμικού.

Το malware στοχεύει κυρίως διαχειριστές και εταιρικά δίκτυα. Οι ερευνητές αναφέρουν, επίσης, ότι αν και μαζεύει πολλά δεδομένα, ο κύριος στόχος του malware είναι τα δεδομένα από το Microsoft Exchange system (π.χ. στοιχεία των χρηστών, καθώς και πληροφορίες για το domain).

Οι ερευνητές παρατήρησαν ότι το malware έχει την ίδια υποδομή σε όλες τις παραλλαγές του.

Έχοντας στο νου τους, ότι τα malware Ursnif και IcedID προέρχονται από τη Ρωσία, οι ερευνητές καταλήγουν στο συμπέρασμα ότι και το Valak μπορεί να είναι μια Ρωσική επίθεση.

Το Valak Malware, με τις εξελιγμένες ιδιότητές του, μπορεί να χρησιμοποιηθεί μόνο του για την πραγματοποίηση επιθέσεων αλλά και σε συνδυασμό με άλλα malware.

https://www.secnews.gr/



%d bloggers like this: