Especialistas noturnos da Cyberreason disse que o bootloader Valak descobriu em 2019 agora explora vulnerabilidades em servidores Microsoft Exchange. Tornou-se um criador de informações completo e ataca empresas nos EUA e na Alemanha.
Os pesquisadores escrevem que nos últimos seis meses, o malware recebeu mais de 20 atualizações e agora representa uma ameaça completa e independente.
Valak se espalha por meio de ataques de phishing e documentos do Microsoft Word contendo macros maliciosas.
“Se o malware penetrou no sistema, um arquivo .DLL com o nome U.tmp é baixado para a máquina infectada e salvo em uma pasta temporária. Em seguida, a chamada da API WinExec é feita e o código JavaScript é carregado, estabelecendo uma conexão com os servidores de gerenciamento. Depois disso, arquivos adicionais são baixados para o host infectado, que são decodificados usando Base64 e XOR, e a carga útil principal é implantada”, - diga Cyberreason Nocturnus.
Para obter uma posição segura em um sistema comprometido, o malware faz alterações no registro e cria uma tarefa agendada. Depois disso, Valak baixa e executa módulos adicionais responsáveis por detectar e roubar dados.
As duas cargas principais (projeto.aspx e a.aspx) executar diferentes funções. O primeiro gerencia chaves de registro, agendamento de tarefas e atividades maliciosas, e o segundo (nome interno PluginHost.exe) é um arquivo executável para gerenciar componentes adicionais de malware.
O módulo ManagedPlugin possui uma variedade de funções: coleta informações do sistema (dados locais e de domínio); tem uma função Exchgrabber, cujo objetivo é penetrar no Microsoft Exchange roubando credenciais e certificados de domínio; possui um verificador de geolocalização e função de captura de tela; contém uma ferramenta de inteligência de rede Netrecon.
“O roubo de dados confidenciais dá aos invasores acesso ao usuário do domínio interno, aquilo é, acesso aos serviços de correio internos da organização, bem como acesso ao certificado de domínio da organização. Com informações do sistema, os invasores podem determinar qual usuário é o administrador do domínio. Isto cria uma combinação perigosa de vazamento de dados confidenciais e comprometimento potencial em larga escala para espionagem cibernética ou roubo de dados. Isso demonstra que os objetivos iniciais deste malware são principalmente empresas”, — concluem os especialistas.
Deixe-me lembrá-lo de que, apesar da Microsoft eliminou um erro no Painel de Controle do Exchange no Microsoft Exchange, de acordo com pesquisadores da Rapid7, os administradores não atualizaram o software e muitos servidores permaneceram vulneráveis.