Il malware Valak aggiunge funzionalità per rubare le credenziali di accesso di Outlook

Il malware Valak aggiunge funzionalità per rubare le credenziali di accesso di Outlook

Gli autori di Valak si stanno concentrando sempre di più sul furto delle credenziali e-mail mentre i ricercatori trovano un nuovo modulo appositamente creato per questo scopo.

Il malware è emerso in modalità test a metà ottobre 2019 e ha un'architettura a plug-in modulare che espande le sue capacità per coprire le esigenze dell'hacker.

Attacchi a catena di risposta

Valak è stato sviluppato a un ritmo accelerato, con oltre 30 varianti identificate in sei mesi. È iniziato come un caricatore di malware che in seguito si è evoluto in un ladro di informazioni incentrato su obiettivi aziendali.

Può infiltrarsi nei server di Microsoft Exchange per rubare dati dal sistema di posta come credenziali e certificati di dominio che consentirebbero l'accesso a un utente all'interno del dominio.

In un'analisi tecnica pubblicata oggi, i ricercatori della società di sicurezza informatica SentinelOne forniscono dettagli su un nuovo plug-in chiamato "clientgrabber", il cui compito è rubare le credenziali e-mail dal registro di una macchina compromessa.

L'accesso alle caselle di posta degli utenti consente agli hackers di eseguire i cosiddetti "attacchi a catena di risposta", in cui inseriscono un messaggio dannoso in un thread di posta elettronica per distribuire malware.

Questa tattica è stata vista con altre famiglie di malware. Emotet ha iniziato a usarla fin quando è ripartito l'anno scorso e CSIS, società indipendente di servizi di sicurezza informatica, ha individuato QakBot fare lo stesso quest'anno.

Il dirottamento del thread di posta elettronica è una tendenza in crescita con QakBot, secondo una recente ricerca della società globale di consulenza sui rischi Kroll.

Client di Valak

I ricercatori di Cybereason Nocturnus hanno pubblicato alla fine di maggio un rapporto tecnico completo su Valak, descrivendone dettagliatamente le tecniche, i componenti e le principali regioni interessate (Stati Uniti e Germania).

Durante la ricerca del malware, SentinelOne ha trovato il plug-in "clientgrabber" che verifica la presenza di password nelle posizioni di registro relative al client Outlook di Microsoft.

Alcuni dettagli su questo modulo sono emersi alla fine di maggio da reec analyst malware:

Le versioni più recenti di Outlook (15 e 16) utilizzano posizioni di registro diverse per archiviare la password di accesso e utilizzare un metodo di crittografia più recente rispetto alle versioni precedenti.

Una volta identificato, il plug-in cerca le "chiavi" e determina il metodo di crittografia e se il valore contiene dati password che possono essere decrittografati.

Ad eccezione della password, tutti i dati dell'account e-mail (nome utente, server) sono memorizzati in testo semplice. SentinelOne afferma che il "clientgrabber" di Valak "verificherà che il valore stia utilizzando il nuovo metodo di crittografia".

I ricercatori affermano che Valak è strettamente collegato al malware Gozi, noto per avere origini russe, al punto che la struttura della tipologia sovrapposta ha portato soluzioni di analisi sandbox per confondere Valak per Gozi.

Cybereason ipotizza anche la discesa russa di Valak, affermando che è stato visto fornire malware come Ursnif (una variante di Gozi) e trojan bancari IcedID, entrambi considerati prodotti dell'ecosistema cibercriminale di lingua russa.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.