Il malware Valak attacca i server Microsoft Exchange per rubare le password aziendali

Il malware Valak attacca i server Microsoft Exchange per rubare le password aziendali

Il Valak Malware osservato per la prima volta nell'anno 2019,  non è solo un loader ma può essere utilizzato come un ladro di informazioni per colpire persone e aziende.

I ricercatori hanno osservato una nuova campagna di malware Valak rivolta in particolare agli Stati Uniti e alla Germania. Nella nuova campagna, è stato sviluppato come un sofisticato modulare multi-stadio dal loader.

Campagna malware Valak

Secondo i ricercatori di Cybereason, nella nuova campagna il vettore di infezione comune sono i documenti di Microsoft Word incorporati con codice macro dannoso.

Il documento è stato creato in lingua inglese e tedesca e distribuito in base alla geolocalizzazione del target.

Il documento di parole contiene un codice macro dannoso che scarica altre fasi del payload. La fase iniziale del malware è una fase senza file che memorizza vari componenti nel registro.

Nella fase di ricognizione, raccoglie i seguenti dati dagli host infetti come; informazioni su utenti, macchine e rete da host infetti, inoltre verifica la geolocalizzazione della macchina della vittima.

Il malware acquisisce anche schermate della macchina infetta e scarica plug-in e altri malware come Ursnif o IcedID per gestire altre operazioni.

La nuova versione dell'attaccante malware la espande con numerosi componenti plugin per la ricognizione e il furto di informazioni.

I ricercatori hanno aggiornato Valak come il malware più furtivo che utilizza tecniche avanzate come ADS e nasconde componenti nel registro.
I ricercatori hanno osservato che il malware utilizza l'infrastruttura condivisa tra quasi tutte le sue diverse versioni.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.