Cyberreason Expertos nocturnos dicho que el gestor de arranque Valak descubrió en 2019 ahora explota vulnerabilidades en los servidores Microsoft Exchange. Se ha convertido en un completo buscador de información y ataca a empresas en EE.UU. y Alemania..
Los investigadores escriben que en los últimos seis meses, el malware ha recibido más de 20 se actualiza y ahora representa una amenaza completa e independiente.
Valak se propaga mediante ataques de phishing y documentos de Microsoft Word que contienen macros maliciosas.
“Si el malware penetró en el sistema, Se descarga un archivo .DLL con el nombre U.tmp en la máquina infectada y se guarda en una carpeta temporal.. Luego se realiza la llamada a la API de WinExec y se carga el código JavaScript., establecer una conexión con los servidores de gestión. Después de eso, Se descargan archivos adicionales al host infectado., que se decodifican usando Base64 y XOR, y se despliega la carga útil principal”, - dice Cyberreason Nocturnus.
Para afianzarse de forma segura en un sistema comprometido, el malware realiza cambios en el registro y crea una tarea programada. Después de eso, Valak procede a descargar y ejecutar módulos adicionales que se encargan de detectar y robar datos..
Las dos cargas útiles principales (proyecto.aspx y a.aspx) realizar diferentes funciones. El primero gestiona las claves de registro., programación de tareas y actividad maliciosa, y el segundo (nombre interno PluginHost.exe) es un archivo ejecutable para administrar componentes de malware adicionales.
El módulo ManagedPlugin tiene una variedad de funciones.: recopila información del sistema (datos locales y de dominio); tiene una función Exchgrabber, cuyo objetivo es penetrar en Microsoft Exchange robando credenciales y certificados de dominio; Tiene un verificador de geolocalización y función de captura de pantalla.; contiene una herramienta de inteligencia de red Netrecon.
“El robo de datos confidenciales da a los atacantes acceso al usuario del dominio interno, eso es, acceso a los servicios de correo interno de la organización, así como acceso al certificado de dominio de la organización. Con información del sistema, Los atacantes pueden determinar qué usuario es el administrador del dominio.. Esto crea una combinación peligrosa de fuga de datos confidenciales y un posible compromiso a gran escala por ciberespionaje o robo de datos.. Esto demuestra que los objetivos iniciales de este malware son principalmente empresas”., — concluyen los expertos.
Déjame recordarte que a pesar de Microsoft eliminado un error en el Panel de control de Exchange en Microsoft Exchange, según investigadores de Rapid7, Los administradores no actualizaron el software y muchos servidores seguían siendo vulnerables.
