Малварь Valak крадет корпоративные данные, используя серверы Microsoft Exchange

Эксперты компании Cyberreason Nocturnus рассказали, что обнаруженный в 2019 году загрузчик Valak теперь превратился в полноценный инфостилер и атакует компании в США и Германии. Исследователи пишут, что за последние полгода малварь получила более 20 обновлений и теперь представляет собой полноценную и самостоятельную угрозу.

Valak распространяется при помощи фишинговых атак и документов Microsoft Word, содержащих вредоносные макросы. Если малварь проникла в систему, то на зараженную машину загружается файл .DLL с именем U.tmp­ и сохраняется во временную папку. Затем выполняется вызов WinExec API и загружается JavaScript-код, устанавливая соединение с управляющими серверами. После этого на зараженный хост загружаются дополнительные файлы, которые декодируются с использованием Base64 и XOR, и развертывается основная полезная нагрузка.

Чтобы надежно закрепиться в скомпрометированной системе, малварь вносит изменения в реестр и создает запланированное задание. После этого Valak переходит к загрузке и запуску дополнительных модулей, отвечающих за обнаружение и кражу данных.

Два основных пейлоада (project.aspx и a.aspx) выполняют разные функции. Первый управляет ключами реестра, планированием задач и вредоносной активностью, а второй (внутреннее имя PluginHost.exe) представляет собой исполняемый файл для управления дополнительными компонентами вредоноса.

Модуль ManagedPlugin обладает самыми разными функциями: собирает системную информацию (локальные и доменные данные); имеет функцию Exchgrabber, целью которой является проникновение в Microsoft Exchange путем хищения учетных данных и сертификатов домена; имеет верификатора геолокации и функцию захвата скриншотов; содержит инструмент Netrecon для сетевой разведки.

Источник: https://xakep.ru/2020/05/28/valak/