Os Autores de Ameaças por Trás do Malware Valak estão Expandindo a Sua Campanha de Expansão

Os atacantes por trás do malware Valak parecem estar expandindo a sua campanha maliciosa nos últimos meses para diferentes países, incluindo empresas de manufaturamento, finanças, seguros e assistência médica, de acordo com a Cisco Talos.

Embora o Valak tenha sido visto pela primeira vez na Alemanha e nos EUA em 2019, os pesquisadores da Cisco Talos descobriram que o malware estava se espalhando na América do Norte, América do Sul e Europa, de acordo com um relatório recente. Os atacantes parecem estar concentrando os seus esforços em empresas maiores, tais como o setor financeiro, para melhorar os seus lucros ilícitos.

O relatório do Cisco Talos mostrou que os operadores por trás do Valak estão usando ameaças de email já existentes e arquivos ZIP compactados com proteção por senha para espalhar o malware para mais vítimas em todo o mundo. Os emails de spam são o principal método de entrega da infecção pelo malware, de acordo com o relatório. Embora o Cisco Talos não tenha fornecido números exatos, seus pesquisadores observaram que o Valak parece estar ignorando as proteções de segurança.

As campanhas conectadas ao Valak parecem ter tido um pouco de sucesso, provavelmente por causa dos controles de segurança do perímetro falharem na verificação dos anexos enviados às possíveis vítimas, de acordo com os pesquisadores da Cisco Talos, Nick Biasini, Edmund Brumaghin e Mariano Graziano. O uso dos e-mails roubados mostra que era improvável que as ferramentas de segurança pudessem ter detectado os e-mails maliciosos que continham o malware.

Os Autores de Ameaças estão Sequestrando Tópicos de Emails Existentes

Quando o problema foi detectado pela primeira vez no final de 2019, o Valak foi criada para agir como um carregador de malware capaz de fornecer Trojans bancários como o IcedID e Ursnif. Em maio de 2020, os analistas de segurança que trabalham na Cybereason descobriram que os fabricantes do Valak refizeram-no como um ladrão de informações capaz de extrair dados de contas de usuários corporativos.

Nos últimos meses, os operadores do Valak aumentaram o escopo das suas operações com campanhas de spam que usam tópicos roubados de emails e arquivos ZIP protegidos por senha, permitindo contornar muitas tecnologias de detecção, compartilhou o Cisco Talos. Embora os ataques estivessem ativos no início de 2020, a Cisco Talos descobriu que 95% da atividade conhecida do Valak tinha ocorrido de maio a junho.

Nas campanhas vistas pelos analistas da Cisco Talos, os atacantes enviavam os e-mails de phishing respondendo aos segmentos existentes, tal como o uso de e-mails automáticos enviados pelas empresas após a conexão de dois usuários. E-mails entre amigos ou associados da mesma organização, sortear prêmios de e-mail e assim por diante também fizeram parte da campanha.

Em alguns desses casos, os alvos visados eram antigos, algumas instâncias tinham os tópicos de email contendo muitos destinatários, mas os atacantes estavam enviando mensagens individuais em vez de responder a todos. As respostas foram personalizadas para os alvos que os atacantes estavam perseguindo. Exemplos disso podem ser vistos com a segmentação de empresas imobiliárias, com e-mails contendo informações relevantes, apresentações, financiamento e muito mais. Em outro caso viu-se o uso da conta de email de um advogado para aumentar a chance de enganar as vítimas e abrir os anexos de email.

O relatório também observou que, embora os anexos protegidos por senha tornem mais fácil ignorar a segurança, a técnica diminui a eficácia desses ataques, pois os usuários podem ter problemas ao abrir esses arquivos. Além de atacar as empresas, os atacantes estavam enviando e-mails de phishing para contas pessoais de e-mail , embora a quantidade desses alvos empalideça em comparação, de acordo com o Cisco Talos. Isso pode indicar que existem duas campanhas separadas, observaram os pesquisadores.

A Entrega do Malware Valak

Emails de spam contêm anexos maliciosos do MS Word. Os documentos tentam convencer os usuários a habilitar macros em idiomas localizados. O downloader usa isso para recuperar e executar a biblioteca de vínculo dinâmico associada ao malware Valak. Os pesquisadores do Cisco Talos observaram o uso de dados DNS passivos no rastreamento dos servidores usados para entregar o DLL do Valak. O malware mudou na maneira como foi recuperado, bem como a ofuscação do seu arquivo de configuração. O relatório não menciona autores de ameaças específicos por trás da campanha, mas observa que a maior parte da infraestrutura por trás dela está localizada em servidores na Ucrânia e na Rússia. Alguns dos sistemas usados para as funções de Comando e Controle foram encontrados em vários locais em todo o mundo, incluindo os EUA.