Categories: SicherheitVirus

Cybereason: Valak-Malware greift Unternehmen und den USA und Deutschland an

Cybereason hat eine neue Angriffswelle mit der seit Ende 2019 bekannten Malware Valak aufgedeckt, die offenbar speziell auf Unternehmen in den USA und Deutschland zugeschnitten ist. Für die neuen Attacken führten die Hintermänner eine Reihe drastischer Veränderungen ein: Wurde Valak anfänglich noch als Loader für andere Malware kategorisiert, kann die Schadsoftware nun unabhängig verwendet werden, um Personen und Unternehmen auszuspionieren.

Die Attacken richten sich derzeit gegen Microsoft-Exchange-Server. Ziel ist es, E-Mail-Daten, Passwörter und Zertifikate zu stehlen. Sie sollen den Zugriff auf Unternehmenskonten ermöglichen. Außerdem soll es nun möglich sein, dank einer neuer modularen Architektur, den Funktionsumfang von Valak mit zusätzlichen Komponenten zu erweitern. Die Plug-ins erhält Valak von einem Befehlsserver im Internet.

Die Verbreitung erfolgt indes über speziell gestaltete Word-Dokumente, die schädliche Makros enthalten. In Abhängigkeit vom Ziel sind die Dokumente in Englisch oder Deutsch verfasst. Das Makro wiederum lädt eine DLL-Datei herunter, die die weitere Infektion startet, um den Hackern einen Zugriff auf ein System zu verschaffen.

Die Forscher stellten zudem fest, dass die Hintermänner von Valak auf kurze Entwicklungszyklen setzen. In den sechs Monaten seit dem ersten Valak-Fund wurden mehr als 30 verschiedene Versionen der Malware identifiziert. Neu hinzu kamen beispielsweise Funktionen für das Sammeln von Netzwerkdaten, die Ermittlung des Standorts von Opfern und das Anfertigen von Screenshots.

„Eine der Verbesserungen und gleichzeitig die wichtigste und interessanteste Komponente neuerer Valak-Versionen ist PluginHost“, teilte Cybereason mit. „PluginHost ist für die Kommunikation mit dem C2-Server und den Download zusätzlicher Plugins unter dem Namen ManagedPlugin zuständig. Unter den weiteren Plugins finden sich Systeminfo und Exchgrabber, die offensichtlich beide primär für Angriffe auf Unternehmen verwendet werden.“

Des Weiteren soll die Malware nun auch in der Lage sein, einer Erkennung durch Antivirensoftware zu entgehen. Zu diesem Zweck verbirgt Valak ihre Komponenten in der Registry. Das moderne Sicherheitslösungen mittlerweile auch PowerShell-Skripte untersuchen, werden sie von Valak nicht verwendet.

In ihrer Studie ziehen die Forscher ein eher beunruhigendes Fazit. Valak habe sich in „gerade einmal sechs Monaten“ zu einer „modularen Schadsoftware“ entwickelt. „Tatsächlich haben wir es mit einer ausgereiften modularen Schadsoftware zu tun, die über unzählige Funktionen zur Datenspionage und für den Diebstahl von Daten verfügt.“ Die Forscher gehen auch davon aus, dass die Hintermänner von Valak, die bisher nicht identifiziert wurden, mit anderen Cyberkriminellen zusammenarbeiten – „mit dem Ziel, eine weit gefährlichere Version der Malware zu entwickeln.“

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Linux Foundation startet Open Voice Network

Die Linux Foundation setzt mit Partnern wie Microsoft, der Deutschen Telekom und der Schwarz Gruppe…

4 Stunden ago

Network as a Service: Das Ende der klassischen LAN-Konzepte

Telekom bietet mit Cisco Meraki Managed Service (CMMS) gute Argumente für Netzwerkumgebungen aus der Cloud

4 Stunden ago

Erst Vernetzung und Compliance machen IT-Sicherheit komplett

Angesichts steigender Schadenssummen und Bußgelder für Cyber-Vorfälle zahlen sich proaktiver Schutz sowie die Zusammenarbeit mit…

1 Tag ago

Innsbrucker Forscher schrumpfen Quantencomputer

Bisher waren Quantencomputer riesige Geräte, die ganze Labore füllten. Jetzt haben Physiker der Universität Innsbruck…

1 Tag ago

Compliance und Technik sind kein Widerspruch

Gesetzliche und Branchenvorgaben (Compliance) muss jedes Unternehmen erfüllen. In einem Gastbeitrag schildert Bertram Dorn, Principal…

2 Tagen ago

Zwei Drittel der deutschen Unternehmen erleiden Ransomware-Attacken

67 Prozent der Unternehmen in Deutschland waren im Jahr 2020 von Ransomware-Angriffen betroffen. In einem…

2 Tagen ago