Cybereason hat eine neue Angriffswelle mit der seit Ende 2019 bekannten Malware Valak aufgedeckt, die offenbar speziell auf Unternehmen in den USA und Deutschland zugeschnitten ist. Für die neuen Attacken führten die Hintermänner eine Reihe drastischer Veränderungen ein: Wurde Valak anfänglich noch als Loader für andere Malware kategorisiert, kann die Schadsoftware nun unabhängig verwendet werden, um Personen und Unternehmen auszuspionieren.
Die Verbreitung erfolgt indes über speziell gestaltete Word-Dokumente, die schädliche Makros enthalten. In Abhängigkeit vom Ziel sind die Dokumente in Englisch oder Deutsch verfasst. Das Makro wiederum lädt eine DLL-Datei herunter, die die weitere Infektion startet, um den Hackern einen Zugriff auf ein System zu verschaffen.
Die Forscher stellten zudem fest, dass die Hintermänner von Valak auf kurze Entwicklungszyklen setzen. In den sechs Monaten seit dem ersten Valak-Fund wurden mehr als 30 verschiedene Versionen der Malware identifiziert. Neu hinzu kamen beispielsweise Funktionen für das Sammeln von Netzwerkdaten, die Ermittlung des Standorts von Opfern und das Anfertigen von Screenshots.
„Eine der Verbesserungen und gleichzeitig die wichtigste und interessanteste Komponente neuerer Valak-Versionen ist PluginHost“, teilte Cybereason mit. „PluginHost ist für die Kommunikation mit dem C2-Server und den Download zusätzlicher Plugins unter dem Namen ManagedPlugin zuständig. Unter den weiteren Plugins finden sich Systeminfo und Exchgrabber, die offensichtlich beide primär für Angriffe auf Unternehmen verwendet werden.“
Des Weiteren soll die Malware nun auch in der Lage sein, einer Erkennung durch Antivirensoftware zu entgehen. Zu diesem Zweck verbirgt Valak ihre Komponenten in der Registry. Das moderne Sicherheitslösungen mittlerweile auch PowerShell-Skripte untersuchen, werden sie von Valak nicht verwendet.
In ihrer Studie ziehen die Forscher ein eher beunruhigendes Fazit. Valak habe sich in „gerade einmal sechs Monaten“ zu einer „modularen Schadsoftware“ entwickelt. „Tatsächlich haben wir es mit einer ausgereiften modularen Schadsoftware zu tun, die über unzählige Funktionen zur Datenspionage und für den Diebstahl von Daten verfügt.“ Die Forscher gehen auch davon aus, dass die Hintermänner von Valak, die bisher nicht identifiziert wurden, mit anderen Cyberkriminellen zusammenarbeiten – „mit dem Ziel, eine weit gefährlichere Version der Malware zu entwickeln.“
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…