Anzeige

Malware

Valak wurde Ende 2019 zum ersten Mal registriert und als Loader klassifiziert, der in mehreren Aktionen speziell in den USA und nicht selten im Verbund mit Ursnif (alias Gozi) und IcedID eingesetzt wurde. Das Cybereason Nocturnus Team hat bei einer Untersuchung im April 2020 festgestellt, dass Valak hauptsächlich für Angriffe in den USA und Deutschland verwendet wird.

Dabei werden immer wieder neue Versionen (bis dato sind mehr als 30 bekannt) eingesetzt, was darauf hinweist, dass die Entwickler der Schadsoftware in der Lage sind, binnen kurzer Zeit deutliche Verbesserungen zu erarbeiten. Zu den wichtigsten Features von Valak gehören:

  • Fileless-Phase: Valak enthält eine Fileless- (dateilose) Phase - dabei wird die Registry genutzt, um verschiedene Komponenten zu speichern.
  • Spionage: sammelt Benutzer-, Rechner- und Netzwerkdaten von infizierten Hosts
  • Geolokalisierung: prüft die Geolokalisierung der Rechner seiner Opfer
  • ScreenCapture: fertigt Screenshots von infizierten Rechnern an
  • Download sekundärer Schadsoftware: lädt zusätzliche Plugins und andere Malware herunter
  • Unternehmen Im Visier: greift in erster Linie Administratoren und Unternehmensnetzwerke an
  • Infiltration des Exchange Servers: erfasst und stiehlt vertrauliche Informationen aus dem Microsoft Exchange Mail-System, darunter Login-Daten und das Domain-Zertifikat.

Eine der Verbesserungen und gleichzeitig die wichtigste und interessanteste Komponente neuerer Valak-Versionen ist PluginHost. PluginHost ist für die Kommunikation mit dem C2-Server und den Download zusätzlicher Plugins unter dem Namen ManagedPlugin zuständig. Unter den weiteren Plugins finden sich Systeminfo und Exchgrabber, die offensichtlich beide primär für Angriffe auf Unternehmen verwendet werden.

Die wichtigsten Ergebnisse Studie von Cybereason

  • Die Valak-Malware: Es handelt sich hier um eine ausgereifte Malware, die zu Beginn als einfacher Malware Loader kategorisiert worden war. Obwohl Valak zum ersten Mal gegen Jahresende 2019 registriert wurde, hat das Cybereason Nocturnus Team bereits jetzt eine ganze Reihe drastischer Veränderungen untersucht. Sie dokumentieren eine aus 20 unterschiedlichen Versionen bestehende Evolution über weniger als sechs Monate. Die Studie zeigt, dass hinter Valak mehr steckt als lediglich ein Loader für andere Malware, sondern dass Valak auch unabhängig verwendet werden kann, um Informationen von Einzelnen und Unternehmen auszuspionieren. 
  • Unternehmen im Visier der Angreifer: Aktuellere Versionen von Valak greifen Microsoft Exchange Server an, um E-Mail-Daten und Passwörter von Unternehmen sowie Unternehmenszertifikate zu stehlen. Auf diese Weise verschaffen Hacker sich potenziell Zugang zu wichtigen Unternehmenskonten. Die Schäden sind weitreichend und schließen Einbußen beim Markenwert ebenso ein wie den Verlust des Kundenvertrauens. 
  • Ziele in den USA und Deutschland: Dieser Angriff ist speziell auf Unternehmen in den USA und Deutschland zugeschnitten. 
  • Umfassende Features und modulare Architektur: Die grundlegenden Features von Valak lassen sich mit einer Reihe von Plugin-Komponenten für Spionagezwecke und Datendiebstahl erweitern. 
  • Schnelle Entwicklungszyklen: Valak hat sich vom einfachen Loader zu einer ausgereiften, mehrstufigen modularen Schadsoftware entwickelt, die ihre Funktionalität mithilfe von Plugins von ihrem C2-Server erweitert. So hat das Cybereason Nocturnus Team in gerade einmal 6 Monaten 20 verschiedene Versionen identifiziert.
  • Stealth-Konfiguration: Valak ist eine stealth-fähige Malware, die fortschrittliche Ausweichtechniken wie ADS einsetzt und ihre Komponenten in der Registry verbirgt. Moderne Sicherheitslösungen erkennen und filtern PowerShell mittlerweile, deswegen wird es von den Valak-Entwicklern nicht verwendet. 

Schlussfolgerung

Das Cybereason Nocturnus Team hat im Rahmen der vorliegenden Studie die neue Valak-Malware analysiert. Obwohl Valak erst Ende 2019 in Erscheinung getreten ist und damals von verschiedenen Sicherheitsanalysten als einfacher Malware Loader kategorisiert wurde, zeigt die Untersuchung, dass sich hinter Valak eine sehr viel weitreichendere Bedrohung verbirgt. Tatsächlich haben wir es hier mit einer ausgereiften modularen Schadsoftware zu tun, die über unzählige Funktionen zur Datenspionage und für den Diebstahl von Daten verfügt.

Die Entwickler haben in gerade einmal sechs Monaten 30 unterschiedliche Versionen von Valak veröffentlicht und dabei große Fortschritte gemacht. Jede dieser Versionen verfügt über erweiterte Funktionalitäten, darunter auch Ausweichtechniken, die das Aufspüren der Malware enorm erschweren. Valak verfügt über mindestens sechs Plugin-Komponenten, mit denen Hacker vertrauliche Informationen stehlen können. 

Diese erweiterten Malware-Funktionen weisen darauf hin, dass Valak sowohl unabhängig als auch zusammen mit anderer Schadsoftware eingesetzt werden kann. Es soll nicht unerwähnt bleiben, dass der für die Malware verantwortliche Threat Actor offenbar mit Gleichgesinnten innerhalb des E-Crime Ökosystems zusammenarbeitet -  mit dem Ziel eine weit gefährlichere Version der Malware zu entwickeln.

Die Angriffe mit Valak konzentrieren sich derzeit scheinbar auf Ziele in den USA und Deutschland. Es ist davon auszugehen, dass sich die Malware weiterentwickeln und sie ihre Popularität unter Cyberkriminellen steigern wird. Das Cybereason Nocturnus Team überwacht kontinuierlich die Entwicklung von Valak – auch dahingehend, ob und wann andere Regionen in Zukunft betroffen sein werden. 

Eli Salem & Lior Rochberger

www.cybereason.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Web-Traffic
Mai 28, 2020

Web-Traffic erholt sich nach COVID-19-Einschränkungen

Die Corona-Pandemie wirkt sich weiterhin auf die Auslastung des Internets und die…

Weitere Artikel

Healthcare

Neue Angriffsfläche innerhalb von Cloud-Diensten und Remote Healthcare-Anwendungen

Der Spotlight-Report über Cybersicherheit im Gesundheitswesen widerlegt die weit verbreitete Überzeugung, dass externe Bedrohungen zu einer Zunahme von Datenschutzverletzungen während der COVID-19-Pandemie führen
Spyware

FakeSpy tarnt sich weltweit als App für Postdienstleistungen

Cybereason hat in den letzten Wochen eine neue Version der Android-Malware FakeSpy untersucht. Sie wurde erstmals im Oktober 2017 entdeckt und dann im Oktober 2018 erneut gemeldet. Im Moment läuft eine aktuelle Kampagne mit einer deutlich verbesserten,…
Datenleck

Betriebe im Finanzsektor riskieren Datenlecks

Netwrix, ein Anbieter von Cybersecurity Lösungen, stellt weitere Erkenntnisse aus seinem 2020 Data Risk & Security Report vor. Der Bericht verdeutlicht die Anfälligkeit von Unternehmen in der Finanzbranche gegenüber einer steigenden Anzahl von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!