Valar Trojan, der første gang blev opdaget sidste år, bruges i øjeblikket i et udbredt angreb mod Microsoft Exchange-servere. Hackingsgruppen bag det er endnu ikke kendt, og malware er hovedsageligt målrettet mod Tyskland og USA. Det er klassificeret som en avanceret trussel, der leveres til offerets computere på flere etaper.
Valar Trojan angriber Microsoft Exchange-servere
Valar Trojan er en sofistikeret malware, der i øjeblikket bruges som et våben mod Microsoft Exchange-servere. De hackere, der står bag kampagnen, bruger den til at målrette maskiner placeret i Tyskland og USA. Det, der er særlig farligt, er det faktum, at truslen leveres i en kompleks infektionsstrategi, der bruger en flertrins installationsmekanisme. Den egentlige malware er ikke ny, de første prøver af det blev fundet i en tidligere kampagne i 2019. En ny hackinggruppe har taget trojanskoden og brugt den i deres angrebskampagne.
Kriminelle bruger en ny strategi, som beskæftiger sig makro-inficerede dokumenter der oprettes på både engelsk og tysk. Disse filer åbnes i Microsoft Word og inkluderer farlige scripts. De spredes til målbrugerne afhængigt af phishing-strategi. Den mest sandsynlige måde er at sende ud e-mails der kan omfatte personlige eller generiske hilsener og link eller vedhæft disse dokumenter. Når modtagerne åbner dem på deres lokale computere, vises der en meddelelse, der beder dem om at aktivere de indbyggede scripts. Dette vil føre til installation af Valar Trojan.
Den indledende installation udføres ved at inficere systemet ved at følge en kompleks infektionssekvens. En af de første handlinger, der vil blive kørt, inkluderer en omfattende handling indsamling af data som er designet til at udtrække maskindata og identitetsrelateret information. Et af de vigtige aktiver, der kapres, er geolokationsdata som bestemmer, hvor brugeren befinder sig. Derudover downloades flere data fra maskinerne, dette modul tager også skærmbilleder med regelmæssige intervaller og indlæser også andre trojanere og malware. De dokumenterede eksempler inkluderer Ursnif som er en almindelig avanceret infektion.
Den opdaterede version af Valar Trojan inkluderer andre moduler og plugins, der udvider funktionaliteten af hovedmotoren. Forskerne bemærker, at Valar betragtes som en avanceret risiko, da det kan skjule sig selv i systemet og også modificere registreringsdatabasen i Windows. Dette betyder, at virussen skaber værdier for sig selv eller redigerer eksisterende, for at beskytte sig selv mod opdagelse eller fjernelse.
Malware i denne kategori kan bruges til at udføre handlinger som følgende:
- Information Gathering — De kaprede maskindata og personlige brugeroplysninger kan bruges til andre forbrydelser såsom økonomisk misbrug og identitetstyveri.
- Overvågning — Trojan-motoren giver hackerne mulighed for at spionere på ofrene og overtage kontrollen over de inficerede maskiner.
- Yderligere virusinfektioner — Valar Trojan kan bruges til at installere andre typer vira til offerets systemer. Populære indstillinger inkluderer filkryptering ransomware som låser brugerfiler og kræver et dekrypteringsgebyr, der skal betales. Et alternativ er installationen af browser hijackers som er farlige plugins gjort kompatible med alle populære webbrowsere. De omdirigerer brugerne til phishing-sider, svindel og hacker-kontrollerede sider.
Et af hovedmålene med trojanen er at få adgang til de installerede Microsoft Exchange-servere. Dette inkluderer de gemte legitimationsoplysninger, følsomt indhold og domænecertifikatet. Den gennemførte analyse viser, at de forskellige versioner af Trojan deler sin infrastruktur. Dette betyder, at hackerne har en stor ressource under deres kontrol. Det er meget muligt, at hackerne er af russisk oprindelse, da de udsendte trusler antages at operere fra Rusland.