Classificado originalmente como um carregador de malware, o Valak se transformou em um ladrão de informações que tem como alvo servidores Microsoft Exchange. O propósito do software malicioso é roubar credenciais de login de contas de e-mail e certificados de empresas.
Pesquisadores da empresa de segurança cibernética Cybereason observam que a funcionalidade original do Valak permanece, ou seja, ele ainda pode fornecer outros malwares — cavalos de Troia bancários Ursnif e IcedID —, mas agora possui plugins para o reconhecimento e roubar informações confidenciais da vítima.
O Valak evoluiu rapidamente desde que foi detectado pela primeira vez no final de 2019, com mais de 30 versões sendo descobertas em menos de seis meses. As novas variantes do malware, usadas em campanhas recentes, indicam melhorias significativas e uma preferência por ambientes corporativos.
Segundo os pesquisadores da Cybereason os recursos das amostras mais recentes do malware incluem a verificação da localização geográfica da máquina infectada, capturas de tela, download de outras cargas úteis (plug-ins, malware, etc.) e invasão de servidores Microsoft Exchange.
O Valak, segundo eles, oculta suas cargas úteis, detalhes de comando e controle (C&C) e outros componentes no registro. Nos estágios posteriores do ataque, ele acessa o cache para escolher as ferramentas necessárias para várias tarefas.
As campanhas que instalam o Valak começam com um e-mail de documento Word com código de macro mal-intencionado. Os documentos são criados no idioma do destinatário.
Veja isso
Hackers apoiados por governos exploram brecha em servidores Exchange
357 mil servidores Exchange prontos para serem atacados
O malware usa técnicas de persistência agendando uma tarefa para executar o Windows Script Host (wscript.exe) e executar o JavaScript, armazenado como um fluxo de dados alternativo.
Mais módulos são baixados no segundo estágio, para explorar o ambiente e roubar informações confidenciais. Todos eles estão disponíveis com o mesmo nome, “ManagedPlugin.dll”. Eles são buscados e carregados pelo “PluginHost.exe” e seus nomes sugerem sua funcionalidade: Exchgrabber, Systeminfo, IPGeo, Procinfo, Netrecon, Screencap.
Senhas e certificados de domínio
O “Exchgrabber” é responsável por coletar dados do Microsoft Exchange e se infiltrar no sistema de e-mail da empresa. Observando suas classes, o módulo parece lidar apenas com roubo de credenciais. No entanto, os pesquisadores descobriram que há mais do que isso. Uma função chamada “CredentialType” possui todas as credenciais que o módulo tentará extrair.
Os dados confidenciais incluem não apenas nomes de usuário e senhas, mas também senhas e certificados de domínio. O risco é óbvio, como explicam os pesquisadores em suas análises. “A extração de dados confidenciais permite ao invasor acessar um usuário interno e, consequentemente, os serviços de correio da empresa, além de acessar o certificado de domínio de uma empresa”, diz a Cybereason
Já com o módulo “Systeminfo”, os invasores podem determinar os administradores de domínio, o que pode levar a “espionagem ou infiltração em larga escala”.
Os pesquisadores também descobriram que o plug-in do Valak também permite descobrir se os dados são do Microsoft Office ou do logon no Outlook. Isso é feito acessando o arquivo “Autodiscover.Xml” com os dados necessários para o Outlook acessar as caixas de correio do usuário no Exchange.
Os desenvolvedores de malware criaram uma ferramenta sofisticada que pode funcionar por conta própria. O rápido ciclo de desenvolvimento de seis meses do Valak se transformou em uma ameaça que pode explorar o ambiente de destino, coletar dados confidenciais e espalhar outros malwares.
A Cybereason encontrou mais de 50 servidores de comando e controle usados com diferentes versões do Valak. Os pesquisadores acreditam que elas têm uma infraestrutura compartilhada, pois todos os nomes de domínio conhecidos estão vinculados entre si por meio de arquivos baixados, semelhanças de URI ou arquivos conectados.
Devido a parceria observada com o Ursnif e IcedID, os pesquisadores acham que o Valak pode ter origem russa. Seus operadores provavelmente são membros da mesma comunidade de criminosos cibernéticos. No entanto, uma conexão clara não foi estabelecida até momento.