Categories: SicherheitVirus

Cybereason: Valak-Malware greift Unternehmen und den USA und Deutschland an

Cybereason hat eine neue Angriffswelle mit der seit Ende 2019 bekannten Malware Valak aufgedeckt, die offenbar speziell auf Unternehmen in den USA und Deutschland zugeschnitten ist. Für die neuen Attacken führten die Hintermänner eine Reihe drastischer Veränderungen ein: Wurde Valak anfänglich noch als Loader für andere Malware kategorisiert, kann die Schadsoftware nun unabhängig verwendet werden, um Personen und Unternehmen auszuspionieren.

Die Attacken richten sich derzeit gegen Microsoft-Exchange-Server. Ziel ist es, E-Mail-Daten, Passwörter und Zertifikate zu stehlen. Sie sollen den Zugriff auf Unternehmenskonten ermöglichen. Außerdem soll es nun möglich sein, dank einer neuer modularen Architektur, den Funktionsumfang von Valak mit zusätzlichen Komponenten zu erweitern. Die Plug-ins erhält Valak von einem Befehlsserver im Internet.

Die Verbreitung erfolgt indes über speziell gestaltete Word-Dokumente, die schädliche Makros enthalten. In Abhängigkeit vom Ziel sind die Dokumente in Englisch oder Deutsch verfasst. Das Makro wiederum lädt eine DLL-Datei herunter, die die weitere Infektion startet, um den Hackern einen Zugriff auf ein System zu verschaffen.

Die Forscher stellten zudem fest, dass die Hintermänner von Valak auf kurze Entwicklungszyklen setzen. In den sechs Monaten seit dem ersten Valak-Fund wurden mehr als 30 verschiedene Versionen der Malware identifiziert. Neu hinzu kamen beispielsweise Funktionen für das Sammeln von Netzwerkdaten, die Ermittlung des Standorts von Opfern und das Anfertigen von Screenshots.

„Eine der Verbesserungen und gleichzeitig die wichtigste und interessanteste Komponente neuerer Valak-Versionen ist PluginHost“, teilte Cybereason mit. „PluginHost ist für die Kommunikation mit dem C2-Server und den Download zusätzlicher Plugins unter dem Namen ManagedPlugin zuständig. Unter den weiteren Plugins finden sich Systeminfo und Exchgrabber, die offensichtlich beide primär für Angriffe auf Unternehmen verwendet werden.“

Des Weiteren soll die Malware nun auch in der Lage sein, einer Erkennung durch Antivirensoftware zu entgehen. Zu diesem Zweck verbirgt Valak ihre Komponenten in der Registry. Das moderne Sicherheitslösungen mittlerweile auch PowerShell-Skripte untersuchen, werden sie von Valak nicht verwendet.

In ihrer Studie ziehen die Forscher ein eher beunruhigendes Fazit. Valak habe sich in „gerade einmal sechs Monaten“ zu einer „modularen Schadsoftware“ entwickelt. „Tatsächlich haben wir es mit einer ausgereiften modularen Schadsoftware zu tun, die über unzählige Funktionen zur Datenspionage und für den Diebstahl von Daten verfügt.“ Die Forscher gehen auch davon aus, dass die Hintermänner von Valak, die bisher nicht identifiziert wurden, mit anderen Cyberkriminellen zusammenarbeiten – „mit dem Ziel, eine weit gefährlichere Version der Malware zu entwickeln.“

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago