Эксперты компании Cyberreason Nocturnus рассказали, что обнаруженный в 2019 году загрузчик Valak теперь превратился в полноценный инфостилер и атакует компании в США и Германии. Исследователи пишут, что за последние полгода малварь получила более 20 обновлений и теперь представляет собой полноценную и самостоятельную угрозу.

Valak распространяется при помощи фишинговых атак и документов Microsoft Word, содержащих вредоносные макросы. Если малварь проникла в систему, то на зараженную машину загружается файл .DLL с именем U.tmp­ и сохраняется во временную папку. Затем выполняется вызов WinExec API и загружается JavaScript-код, устанавливая соединение с управляющими серверами. После этого на зараженный хост загружаются дополнительные файлы, которые декодируются с использованием Base64 и XOR, и развертывается основная полезная нагрузка.

Чтобы надежно закрепиться в скомпрометированной системе, малварь вносит изменения в реестр и создает запланированное задание. После этого Valak переходит к загрузке и запуску дополнительных модулей, отвечающих за обнаружение и кражу данных.

Два основных пейлоада (project.aspx и a.aspx) выполняют разные функции. Первый управляет ключами реестра, планированием задач и вредоносной активностью, а второй (внутреннее имя PluginHost.exe) представляет собой исполняемый файл для управления дополнительными компонентами вредоноса.

Модуль ManagedPlugin обладает самыми разными функциями: собирает системную информацию (локальные и доменные данные); имеет функцию Exchgrabber, целью которой является проникновение в Microsoft Exchange путем хищения учетных данных и сертификатов домена; имеет верификатора геолокации и функцию захвата скриншотов; содержит инструмент Netrecon для сетевой разведки.

«Хищение конфиденциальных данных дает злоумышленникам доступ к пользователю внутреннего домена, то есть доступ к внутренним почтовым службам организации, а также доступ к сертификату домена организации.

Имея systeminfo, злоумышленники могут определить, какой пользователь является администратором домена. Это создает опасное сочетание утечки конфиденциальных данных и крупномасштабной потенциальной компрометации с целью кибершпионажа или хищения данных. Это демонстрирует, что первоочередные цели этой малвари — это прежде всего предприятия», — заключают эксперты.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии