Эксперты компании Cyberreason Nocturnus рассказали, что обнаруженный в 2019 году загрузчик Valak теперь превратился в полноценный инфостилер и атакует компании в США и Германии. Исследователи пишут, что за последние полгода малварь получила более 20 обновлений и теперь представляет собой полноценную и самостоятельную угрозу.
Valak распространяется при помощи фишинговых атак и документов Microsoft Word, содержащих вредоносные макросы. Если малварь проникла в систему, то на зараженную машину загружается файл .DLL с именем U.tmp и сохраняется во временную папку. Затем выполняется вызов WinExec API и загружается JavaScript-код, устанавливая соединение с управляющими серверами. После этого на зараженный хост загружаются дополнительные файлы, которые декодируются с использованием Base64 и XOR, и развертывается основная полезная нагрузка.
Чтобы надежно закрепиться в скомпрометированной системе, малварь вносит изменения в реестр и создает запланированное задание. После этого Valak переходит к загрузке и запуску дополнительных модулей, отвечающих за обнаружение и кражу данных.
Два основных пейлоада (project.aspx и a.aspx) выполняют разные функции. Первый управляет ключами реестра, планированием задач и вредоносной активностью, а второй (внутреннее имя PluginHost.exe) представляет собой исполняемый файл для управления дополнительными компонентами вредоноса.
Модуль ManagedPlugin обладает самыми разными функциями: собирает системную информацию (локальные и доменные данные); имеет функцию Exchgrabber, целью которой является проникновение в Microsoft Exchange путем хищения учетных данных и сертификатов домена; имеет верификатора геолокации и функцию захвата скриншотов; содержит инструмент Netrecon для сетевой разведки.
«Хищение конфиденциальных данных дает злоумышленникам доступ к пользователю внутреннего домена, то есть доступ к внутренним почтовым службам организации, а также доступ к сертификату домена организации.
Имея systeminfo, злоумышленники могут определить, какой пользователь является администратором домена. Это создает опасное сочетание утечки конфиденциальных данных и крупномасштабной потенциальной компрометации с целью кибершпионажа или хищения данных. Это демонстрирует, что первоочередные цели этой малвари — это прежде всего предприятия», — заключают эксперты.