Cybereason: Valak-Malware greift Unternehmen und den USA und Deutschland an

Cybereason hat eine neue Angriffswelle mit der seit Ende 2019 bekannten Malware Valak aufgedeckt, die offenbar speziell auf Unternehmen in den USA und Deutschland zugeschnitten ist. Für die neuen Attacken führten die Hintermänner eine Reihe drastischer Veränderungen ein: Wurde Valak anfänglich noch als Loader für andere Malware kategorisiert, kann die Schadsoftware nun unabhängig verwendet werden, um Personen und Unternehmen auszuspionieren.

Die Attacken richten sich derzeit gegen Microsoft-Exchange-Server. Ziel ist es, E-Mail-Daten, Passwörter und Zertifikate zu stehlen. Sie sollen den Zugriff auf Unternehmenskonten ermöglichen. Außerdem soll es nun möglich sein, dank einer neuer modularen Architektur, den Funktionsumfang von Valak mit zusätzlichen Komponenten zu erweitern. Die Plug-ins erhält Valak von einem Befehlsserver im Internet.

Die Verbreitung erfolgt indes über speziell gestaltete Word-Dokumente, die schädliche Makros enthalten. In Abhängigkeit vom Ziel sind die Dokumente in Englisch oder Deutsch verfasst. Das Makro wiederum lädt eine DLL-Datei herunter, die die weitere Infektion startet, um den Hackern einen Zugriff auf ein System zu verschaffen.

Die Forscher stellten zudem fest, dass die Hintermänner von Valak auf kurze Entwicklungszyklen setzen. In den sechs Monaten seit dem ersten Valak-Fund wurden mehr als 30 verschiedene Versionen der Malware identifiziert. Neu hinzu kamen beispielsweise Funktionen für das Sammeln von Netzwerkdaten, die Ermittlung des Standorts von Opfern und das Anfertigen von Screenshots.

„Eine der Verbesserungen und gleichzeitig die wichtigste und interessanteste Komponente neuerer Valak-Versionen ist PluginHost“, teilte Cybereason mit. „PluginHost ist für die Kommunikation mit dem C2-Server und den Download zusätzlicher Plugins unter dem Namen ManagedPlugin zuständig. Unter den weiteren Plugins finden sich Systeminfo und Exchgrabber, die offensichtlich beide primär für Angriffe auf Unternehmen verwendet werden.“

Des Weiteren soll die Malware nun auch in der Lage sein, einer Erkennung durch Antivirensoftware zu entgehen. Zu diesem Zweck verbirgt Valak ihre Komponenten in der Registry. Das moderne Sicherheitslösungen mittlerweile auch PowerShell-Skripte untersuchen, werden sie von Valak nicht verwendet.

In ihrer Studie ziehen die Forscher ein eher beunruhigendes Fazit. Valak habe sich in „gerade einmal sechs Monaten“ zu einer „modularen Schadsoftware“ entwickelt. „Tatsächlich haben wir es mit einer ausgereiften modularen Schadsoftware zu tun, die über unzählige Funktionen zur Datenspionage und für den Diebstahl von Daten verfügt.“ Die Forscher gehen auch davon aus, dass die Hintermänner von Valak, die bisher nicht identifiziert wurden, mit anderen Cyberkriminellen zusammenarbeiten – „mit dem Ziel, eine weit gefährlichere Version der Malware zu entwickeln.“