Valak apunta a los servidores de Microsoft Exchange para robar datos empresariales


Valak apareció por primera vez en la escena como un cargador para otras amenazas, pero en los últimos seis meses, todo ha cambiado para el cargador convertido en infostealer.

El malware se ha detectado en campañas activas, principalmente entidades enfocadas en los EE. UU. Y Alemania, que previamente se habían agrupado junto con Ursnif y IcedID cargas útiles troyanas bancarias (1,2)

Observado por primera vez a fines de 2019, los investigadores de ciberseguridad clasificaron a Valak como un cargador de malware. Valak, considerado «sofisticado» por el equipo de Cybereason Nocturnus, ha sufrido una serie de cambios en los últimos seis meses, con más de 20 revisiones de versiones que cambian el malware de un cargador a una amenaza independiente por derecho propio.

Ver también: Telegram dice que el ataque DDoS &#39whopper&#39 se lanzó principalmente desde China

El jueves equipo de ciberseguridad dijo el malware ahora ha cambiado a «un ladrón de información para apuntar a individuos y empresas».

Después de aterrizar en una máquina a través de un ataque de phishing utilizando documentos de Microsoft Term que contienen macros maliciosas, se descarga un archivo .DLL llamado «U.tmp» y se guarda en una carpeta temporal.

Luego se realiza una llamada a la API WinExec y se descarga el código JavaScript, lo que lleva a la creación de conexiones a servidores de comando y management (C2). Luego se descargan archivos adicionales, se decodifican utilizando Foundation64 y un cifrado XOR, y luego se implementa la carga útil principal.

CNET: Ese teléfono Android usado o restaurado podría no ser seguro: 6 cosas que debes saber

Se establecen claves y valores de registro y se crea una tarea programada para mantener la persistencia en una máquina infectada. A continuación, Valek descarga y ejecuta módulos adicionales para el reconocimiento y el robo de datos.

Dos cargas útiles principales, task.aspx y a.aspx, realizan diferentes funciones. El primero administra las claves de registro, la programación de tareas para actividades maliciosas y la persistencia, mientras que el segundo, denominado internamente PluginHost.exe, es un ejecutable que administra componentes adicionales.

El módulo «ManagedPlugin» de Valak es de unique interés. Las funciones incluyen un capturador de información del sistema que recolecta datos locales y de dominio la función «Exchgrabber», cuyo objetivo es infiltrarse en Microsoft Trade robando credenciales y certificados de dominio, un verificador de geolocalización, captura de captura de pantalla y «Netrecon», una herramienta de reconocimiento de crimson.

Además, el malware buscará en los equipos infectados los productos antivirus existentes.

TechRepublic: CTO de Akamai sobre cómo los bots se usan en línea de manera authorized e ilegal

Las variantes de Valak más recientes se han rastreado en ataques contra servidores de Microsoft Exchange en lo que se cree que son ataques centrados en la empresa.

«La extracción de estos datos confidenciales permite al atacante acceder a un usuario de dominio interno para los servicios de correo interno de una empresa junto con el acceso al certificado de dominio de una empresa», dicen los investigadores. «Con systeminfo, el atacante puede identificar qué usuario es un administrador de dominio. Esto crea una combinación muy peligrosa de fuga de datos confidenciales y espionaje cibernético o infostealing a gran escala. También muestra que el objetivo previsto de este malware es ante todo empresas». »

Valak se encuentra actualmente en la versión 24. Si bien no se comprende la naturaleza basic del vínculo entre Valak, Ursnif e IcedID, los investigadores sugieren que puede haber «lazos personales» y «confianza mutua» en juego, y el código del malware indica Puede haber vínculos con la comunidad clandestina de habla rusa.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0






Enlace a la noticia primary