Suchen

Neue Schadsoftware „Valak“ Valak entwickelt sich zur Gefahr für Unternehmen

| Redakteur: Peter Schmitz

Eine neue Malware richtet sich gegen Ziele in den USA und Deutschland und verzeichnete über 20 neue Versionen in weniger als sechs Monaten. Die Schadsoftware zeichnet sich durch schnelle Entwicklungszeiten aus und hat sich vom einfachen Loader zu einer ausgereiften, mehrstufigen modularen Schadsoftware entwickelt.

Firmen zum Thema

Die Malware Valak ist erstmals Ende 2019 aufgetreten. Die Entwickler der modularen Schadsoftware haben in sechs Monaten 20 unterschiedliche Versionen veröffentlicht.
Die Malware Valak ist erstmals Ende 2019 aufgetreten. Die Entwickler der modularen Schadsoftware haben in sechs Monaten 20 unterschiedliche Versionen veröffentlicht.
(Bild: gemeinfrei / Pixabay )

Die Sicherheitsforscher Eli Salem und Lior Rochberger vom CybereasonNocturnus-Team haben in ihrer aktuellen Untersuchung eine neue Schadsoftware namens Valak untersucht. Die Malware richtet sich gegen Ziele in den USA und Deutschland. Valak ist erstmals Ende 2019 in Erscheinung getreten und wurde damals von verschiedenen Sicherheitsanalysten als einfacher Malware-Loader kategorisiert.

Die Untersuchung zeigt jetzt, dass mehr dahintersteckt. Demnach handelt es sich bei Valak um eine sehr viel weitreichendere Bedrohung als ursprünglich angenommen. Tatsächlich haben wir es nach Aussagen der Sicherheitsforscher mit einer ausgereiften modularen Schadsoftware zu tun, die über unzählige Funktionen zur Datenspionage und den Diebstahl von Daten verfügt. Die Entwickler haben demnach in gerade einmal sechs Monaten 20 unterschiedliche Versionen veröffentlicht. Jede von ihnen verfügt über erweiterte Funktionsmerkmale, darunter Ausweichtechniken, die das Aufspüren der Malware enorm erschweren. Valak verfügt zudem über mindestens sechs Plugin-Komponenten zum Abziehen vertraulicher Informationen. Solche Funktionen deuten darauf hin, dass Angreifer Valak sowohl unabhängig als auch zusammen mit anderer Schadsoftware einsetzen können.

Was kann die Schadsoftware?

Die Schadsoftware zeichnet sich durch schnelle Entwicklungszeiten aus und hat sich vom einfachen Loader zu einer ausgereiften, mehrstufigen modularen Schadsoftware entwickelt. Aktuellere Versionen greifen Microsoft Exchange Server an, um E-Mail-Daten und Passwörter sowie Unternehmenszertifikate zu stehlen. Die grundlegenden Funktionsmerkmale lassen sich mit einer Reihe von Plugin-Komponenten für Spionagezwecke und zum Datendiebstahl erweitern. Eine der Verbesserungen und gleichzeitig die wichtigste und interessanteste Komponente aktueller Versionen ist PluginHost. PluginHost ist für die Kommunikation mit dem C2-Server und den Download zusätzlicher Plugins unter dem Namen ManagedPlugin zuständig. Unter diesen Plugins finden sich Systeminfo und Exchgrabber, die offensichtlich beide primär für Angriffe auf Unternehmen verwendet werden.

  • Fileless-Phase: Valak enthält eine Fileless- (dateilose) Phase - dabei wird die Registry genutzt, um verschiedene Komponenten zu speichern
  • Spionage: sammelt Benutzer-, Rechner- und Netzwerkdaten von infizierten Hosts
  • Infiltriert Exchange Server: erfasst und stiehlt vertrauliche Informationen aus dem Microsoft Exchange Mail-System, darunter Login-Daten und Domain-Zertifikate
  • Geolokalisierung: prüft die Geolokalisierung der Zielrechner
  • ScreenCapture: fertigt Screenshots von infizierten Rechnern an
  • Download sekundärer Schadsoftware: lädt zusätzliche Plugins und andere Malware herunter
  • Unternehmen im Visier: greift in erster Linie Administratoren und Unternehmensnetzwerke an
  • Die Stealth-Konfiguration nutzt fortschrittliche Ausweichtechniken wie ADS und verbirgt ihre Komponenten in der Registry.

Es ist davon auszugehen, dass sich die Malware weiterentwickeln wird und sie ihre Popularität steigern kann. Zudem gibt es Anzeichen, dass der Entwickler von Valak mit Gleichgesinnten an einer gefährlicheren Variante der Schadsoftware arbeitet. Das Nocturnus Team behält die Entwicklung auch dahingehend im Auge, ob und wann andere Regionen betroffen sein können.

(ID:46610840)