10 Giugno 2020 - Tempo di lettura: 11 minuti
Gli autori di Valak si stanno concentrando sempre di più sul furto delle credenziali e-mail mentre i ricercatori trovano un nuovo modulo appositamente creato per questo scopo.
Il malware è emerso in modalità test a metà ottobre 2019 e ha un'architettura a plug-in modulare che espande le sue capacità per coprire le esigenze dell'hacker.
Valak è stato sviluppato a un ritmo accelerato, con oltre 30 varianti identificate in sei mesi. È iniziato come un caricatore di malware che in seguito si è evoluto in un ladro di informazioni incentrato su obiettivi aziendali.
Può infiltrarsi nei server di Microsoft Exchange per rubare dati dal sistema di posta come credenziali e certificati di dominio che consentirebbero l'accesso a un utente all'interno del dominio.
In un'analisi tecnica pubblicata oggi, i ricercatori della società di sicurezza informatica SentinelOne forniscono dettagli su un nuovo plug-in chiamato "clientgrabber", il cui compito è rubare le credenziali e-mail dal registro di una macchina compromessa.
L'accesso alle caselle di posta degli utenti consente agli hackers di eseguire i cosiddetti "attacchi a catena di risposta", in cui inseriscono un messaggio dannoso in un thread di posta elettronica per distribuire malware.
Questa tattica è stata vista con altre famiglie di malware. Emotet ha iniziato a usarla fin quando è ripartito l'anno scorso e CSIS, società indipendente di servizi di sicurezza informatica, ha individuato QakBot fare lo stesso quest'anno.
Il dirottamento del thread di posta elettronica è una tendenza in crescita con QakBot, secondo una recente ricerca della società globale di consulenza sui rischi Kroll.
I ricercatori di Cybereason Nocturnus hanno pubblicato alla fine di maggio un rapporto tecnico completo su Valak, descrivendone dettagliatamente le tecniche, i componenti e le principali regioni interessate (Stati Uniti e Germania).
Durante la ricerca del malware, SentinelOne ha trovato il plug-in "clientgrabber" che verifica la presenza di password nelle posizioni di registro relative al client Outlook di Microsoft.
Alcuni dettagli su questo modulo sono emersi alla fine di maggio da reec analyst malware:
Le versioni più recenti di Outlook (15 e 16) utilizzano posizioni di registro diverse per archiviare la password di accesso e utilizzare un metodo di crittografia più recente rispetto alle versioni precedenti.
Una volta identificato, il plug-in cerca le "chiavi" e determina il metodo di crittografia e se il valore contiene dati password che possono essere decrittografati.
Ad eccezione della password, tutti i dati dell'account e-mail (nome utente, server) sono memorizzati in testo semplice. SentinelOne afferma che il "clientgrabber" di Valak "verificherà che il valore stia utilizzando il nuovo metodo di crittografia".
I ricercatori affermano che Valak è strettamente collegato al malware Gozi, noto per avere origini russe, al punto che la struttura della tipologia sovrapposta ha portato soluzioni di analisi sandbox per confondere Valak per Gozi.
Cybereason ipotizza anche la discesa russa di Valak, affermando che è stato visto fornire malware come Ursnif (una variante di Gozi) e trojan bancari IcedID, entrambi considerati prodotti dell'ecosistema cibercriminale di lingua russa.