Categories: SicherheitVirus

Cybereason: Valak-Malware greift Unternehmen und den USA und Deutschland an

Cybereason hat eine neue Angriffswelle mit der seit Ende 2019 bekannten Malware Valak aufgedeckt, die offenbar speziell auf Unternehmen in den USA und Deutschland zugeschnitten ist. Für die neuen Attacken führten die Hintermänner eine Reihe drastischer Veränderungen ein: Wurde Valak anfänglich noch als Loader für andere Malware kategorisiert, kann die Schadsoftware nun unabhängig verwendet werden, um Personen und Unternehmen auszuspionieren.

Die Attacken richten sich derzeit gegen Microsoft-Exchange-Server. Ziel ist es, E-Mail-Daten, Passwörter und Zertifikate zu stehlen. Sie sollen den Zugriff auf Unternehmenskonten ermöglichen. Außerdem soll es nun möglich sein, dank einer neuer modularen Architektur, den Funktionsumfang von Valak mit zusätzlichen Komponenten zu erweitern. Die Plug-ins erhält Valak von einem Befehlsserver im Internet.

Die Verbreitung erfolgt indes über speziell gestaltete Word-Dokumente, die schädliche Makros enthalten. In Abhängigkeit vom Ziel sind die Dokumente in Englisch oder Deutsch verfasst. Das Makro wiederum lädt eine DLL-Datei herunter, die die weitere Infektion startet, um den Hackern einen Zugriff auf ein System zu verschaffen.

Die Forscher stellten zudem fest, dass die Hintermänner von Valak auf kurze Entwicklungszyklen setzen. In den sechs Monaten seit dem ersten Valak-Fund wurden mehr als 30 verschiedene Versionen der Malware identifiziert. Neu hinzu kamen beispielsweise Funktionen für das Sammeln von Netzwerkdaten, die Ermittlung des Standorts von Opfern und das Anfertigen von Screenshots.

„Eine der Verbesserungen und gleichzeitig die wichtigste und interessanteste Komponente neuerer Valak-Versionen ist PluginHost“, teilte Cybereason mit. „PluginHost ist für die Kommunikation mit dem C2-Server und den Download zusätzlicher Plugins unter dem Namen ManagedPlugin zuständig. Unter den weiteren Plugins finden sich Systeminfo und Exchgrabber, die offensichtlich beide primär für Angriffe auf Unternehmen verwendet werden.“

Des Weiteren soll die Malware nun auch in der Lage sein, einer Erkennung durch Antivirensoftware zu entgehen. Zu diesem Zweck verbirgt Valak ihre Komponenten in der Registry. Das moderne Sicherheitslösungen mittlerweile auch PowerShell-Skripte untersuchen, werden sie von Valak nicht verwendet.

In ihrer Studie ziehen die Forscher ein eher beunruhigendes Fazit. Valak habe sich in „gerade einmal sechs Monaten“ zu einer „modularen Schadsoftware“ entwickelt. „Tatsächlich haben wir es mit einer ausgereiften modularen Schadsoftware zu tun, die über unzählige Funktionen zur Datenspionage und für den Diebstahl von Daten verfügt.“ Die Forscher gehen auch davon aus, dass die Hintermänner von Valak, die bisher nicht identifiziert wurden, mit anderen Cyberkriminellen zusammenarbeiten – „mit dem Ziel, eine weit gefährlichere Version der Malware zu entwickeln.“

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

46 Minuten ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

5 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

6 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

6 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

6 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

8 Stunden ago