Anzeige

Malware

Valak wurde Ende 2019 zum ersten Mal registriert und als Loader klassifiziert, der in mehreren Aktionen speziell in den USA und nicht selten im Verbund mit Ursnif (alias Gozi) und IcedID eingesetzt wurde. Das Cybereason Nocturnus Team hat bei einer Untersuchung im April 2020 festgestellt, dass Valak hauptsächlich für Angriffe in den USA und Deutschland verwendet wird.

Dabei werden immer wieder neue Versionen (bis dato sind mehr als 30 bekannt) eingesetzt, was darauf hinweist, dass die Entwickler der Schadsoftware in der Lage sind, binnen kurzer Zeit deutliche Verbesserungen zu erarbeiten. Zu den wichtigsten Features von Valak gehören:

  • Fileless-Phase: Valak enthält eine Fileless- (dateilose) Phase - dabei wird die Registry genutzt, um verschiedene Komponenten zu speichern.
  • Spionage: sammelt Benutzer-, Rechner- und Netzwerkdaten von infizierten Hosts
  • Geolokalisierung: prüft die Geolokalisierung der Rechner seiner Opfer
  • ScreenCapture: fertigt Screenshots von infizierten Rechnern an
  • Download sekundärer Schadsoftware: lädt zusätzliche Plugins und andere Malware herunter
  • Unternehmen Im Visier: greift in erster Linie Administratoren und Unternehmensnetzwerke an
  • Infiltration des Exchange Servers: erfasst und stiehlt vertrauliche Informationen aus dem Microsoft Exchange Mail-System, darunter Login-Daten und das Domain-Zertifikat.

Eine der Verbesserungen und gleichzeitig die wichtigste und interessanteste Komponente neuerer Valak-Versionen ist PluginHost. PluginHost ist für die Kommunikation mit dem C2-Server und den Download zusätzlicher Plugins unter dem Namen ManagedPlugin zuständig. Unter den weiteren Plugins finden sich Systeminfo und Exchgrabber, die offensichtlich beide primär für Angriffe auf Unternehmen verwendet werden.

Die wichtigsten Ergebnisse Studie von Cybereason

  • Die Valak-Malware: Es handelt sich hier um eine ausgereifte Malware, die zu Beginn als einfacher Malware Loader kategorisiert worden war. Obwohl Valak zum ersten Mal gegen Jahresende 2019 registriert wurde, hat das Cybereason Nocturnus Team bereits jetzt eine ganze Reihe drastischer Veränderungen untersucht. Sie dokumentieren eine aus 20 unterschiedlichen Versionen bestehende Evolution über weniger als sechs Monate. Die Studie zeigt, dass hinter Valak mehr steckt als lediglich ein Loader für andere Malware, sondern dass Valak auch unabhängig verwendet werden kann, um Informationen von Einzelnen und Unternehmen auszuspionieren. 
  • Unternehmen im Visier der Angreifer: Aktuellere Versionen von Valak greifen Microsoft Exchange Server an, um E-Mail-Daten und Passwörter von Unternehmen sowie Unternehmenszertifikate zu stehlen. Auf diese Weise verschaffen Hacker sich potenziell Zugang zu wichtigen Unternehmenskonten. Die Schäden sind weitreichend und schließen Einbußen beim Markenwert ebenso ein wie den Verlust des Kundenvertrauens. 
  • Ziele in den USA und Deutschland: Dieser Angriff ist speziell auf Unternehmen in den USA und Deutschland zugeschnitten. 
  • Umfassende Features und modulare Architektur: Die grundlegenden Features von Valak lassen sich mit einer Reihe von Plugin-Komponenten für Spionagezwecke und Datendiebstahl erweitern. 
  • Schnelle Entwicklungszyklen: Valak hat sich vom einfachen Loader zu einer ausgereiften, mehrstufigen modularen Schadsoftware entwickelt, die ihre Funktionalität mithilfe von Plugins von ihrem C2-Server erweitert. So hat das Cybereason Nocturnus Team in gerade einmal 6 Monaten 20 verschiedene Versionen identifiziert.
  • Stealth-Konfiguration: Valak ist eine stealth-fähige Malware, die fortschrittliche Ausweichtechniken wie ADS einsetzt und ihre Komponenten in der Registry verbirgt. Moderne Sicherheitslösungen erkennen und filtern PowerShell mittlerweile, deswegen wird es von den Valak-Entwicklern nicht verwendet. 

Schlussfolgerung

Das Cybereason Nocturnus Team hat im Rahmen der vorliegenden Studie die neue Valak-Malware analysiert. Obwohl Valak erst Ende 2019 in Erscheinung getreten ist und damals von verschiedenen Sicherheitsanalysten als einfacher Malware Loader kategorisiert wurde, zeigt die Untersuchung, dass sich hinter Valak eine sehr viel weitreichendere Bedrohung verbirgt. Tatsächlich haben wir es hier mit einer ausgereiften modularen Schadsoftware zu tun, die über unzählige Funktionen zur Datenspionage und für den Diebstahl von Daten verfügt.

Die Entwickler haben in gerade einmal sechs Monaten 30 unterschiedliche Versionen von Valak veröffentlicht und dabei große Fortschritte gemacht. Jede dieser Versionen verfügt über erweiterte Funktionalitäten, darunter auch Ausweichtechniken, die das Aufspüren der Malware enorm erschweren. Valak verfügt über mindestens sechs Plugin-Komponenten, mit denen Hacker vertrauliche Informationen stehlen können. 

Diese erweiterten Malware-Funktionen weisen darauf hin, dass Valak sowohl unabhängig als auch zusammen mit anderer Schadsoftware eingesetzt werden kann. Es soll nicht unerwähnt bleiben, dass der für die Malware verantwortliche Threat Actor offenbar mit Gleichgesinnten innerhalb des E-Crime Ökosystems zusammenarbeitet -  mit dem Ziel eine weit gefährlichere Version der Malware zu entwickeln.

Die Angriffe mit Valak konzentrieren sich derzeit scheinbar auf Ziele in den USA und Deutschland. Es ist davon auszugehen, dass sich die Malware weiterentwickeln und sie ihre Popularität unter Cyberkriminellen steigern wird. Das Cybereason Nocturnus Team überwacht kontinuierlich die Entwicklung von Valak – auch dahingehend, ob und wann andere Regionen in Zukunft betroffen sein werden. 

Eli Salem & Lior Rochberger

www.cybereason.com


Artikel zu diesem Thema

Web-Traffic
Mai 28, 2020

Web-Traffic erholt sich nach COVID-19-Einschränkungen

Die Corona-Pandemie wirkt sich weiterhin auf die Auslastung des Internets und die…

Weitere Artikel

Phishing

Neuer Report zeigt Top Phishing-Maschen auf

Norton Labs, das globale Forschungs-Team von NortonLifeLock, veröffentlicht den zweiten Consumer Cyber Safety Pulse Report. Der quartalsweise erscheinende Report bietet wichtige Einblicke und Erkenntnisse in Cybersecurity-Vorfälle, die Verbraucher zum Ziel…
Hacker Russland

REvil-Ransomware – höfliche und russlandfreundliche Hacker

Vor allem jenseits des Atlantiks sorgte kürzlich ein Bericht der NBC für Furore: Dieser stellte fest, dass die REvil-Ransomware, die für die groß angelegte Kaseya-Supply-Chain-Attacke benutzt wurde, so programmiert ist, dass sie keine russischen Rechner…
Cyber Security

Phishing-Angriffe: 65 Prozent der Opfer machten Schulung

Cloudian veröffentlichte seinen 2021 Ransomware Victims Report. Die Umfrage ergab, dass 54 Prozent der Opfer zum Zeitpunkt des Angriffs bereits an einer Anti-Phishing-Schulung teilgenommen und 49 Prozent einen Perimeter-Schutz installiert hatten.
Cybercrime

Cyberangriff auf die Rüstungsindustrie

Den Security-Experten von Proofpoint ist es nun gelungen, eine neue Social-Engineering-Attacke von TA456 (Threat Actor 456 – oft auch Imperial Kitten oder Tortoiseshell genannt) aufzudecken. Bei der Kampagne versuchten die Cyberkriminellen über mehrere Jahre…
Malware

UEFI-Malware bleibt Bedrohung für Privatanwender und Unternehmen

Mit dem Schadprogramm Lojax war das Unified Extensible Firmware Interface (UEFI) im Herbst 2018 in aller Munde. ESET Forscher hatten herausgefunden, dass Hacker mit neuartigen Angriffsmethoden die Firmware auf Mainboards infiltrieren und über diesen Weg die…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.