Der im letzten Jahr erstmals entdeckte Valar-Trojaner wird derzeit bei einem weit verbreiteten Angriff auf Microsoft Exchange-Server verwendet. Die dahinter stehende Hacking-Gruppe ist noch nicht bekannt und die Malware richtet sich hauptsächlich gegen Deutschland und die USA. Es wird als erweiterte Bedrohung eingestuft, die mehrstufig an die Computer des Opfers übertragen wird.
Valar-Trojaner greift Microsoft Exchange-Server an
Valar Trojan ist eine hoch entwickelte Malware, die derzeit als Waffe gegen Microsoft Exchange-Server eingesetzt wird. Die Hacker, die hinter der Kampagne stehen, zielen damit auf Maschinen in Deutschland und den USA ab. Besonders gefährlich ist die Tatsache, dass die Bedrohung in einer komplexen Infektionsstrategie übertragen wird, die einen mehrstufigen Installationsmechanismus verwendet. Die eigentliche Malware ist nicht neu, Die ersten Proben davon wurden in einer früheren Kampagne in entdeckt 2019. Eine neue Hacking-Gruppe hat den Trojaner-Code genommen und in ihrer Angriffskampagne verwendet.
Die Kriminellen wenden eine neue Strategie an, die sie anwendet Makro-infizierte Dokumente die sowohl in Englisch als auch in Deutsch erstellt werden. Diese Dateien werden in Microsoft Word geöffnet und enthalten gefährliche Skripte. Sie werden je nach Phishing-Strategie. Der wahrscheinlichste Weg ist das Versenden E-Mail-Nachrichten Dies kann personalisierte oder allgemeine Begrüßungen umfassen und diese Dokumente verknüpfen oder anhängen. Wenn die Empfänger sie auf ihren lokalen Computern öffnen, wird eine Meldung angezeigt, in der sie aufgefordert werden, die integrierten Skripts zu aktivieren. Dies führt zur Bereitstellung des Valar-Trojaners.
Die Erstinstallation erfolgt durch Infizieren des Systems durch Befolgen einer komplexen Infektionssequenz. Eine der ersten Aktionen, die ausgeführt wird, umfasst eine umfangreiche Datenerfassungsaktion Hiermit werden Maschinendaten und identitätsbezogene Informationen extrahiert. Eines der wichtigsten Vermögenswerte, die entführt werden, ist das Geolokalisierungsdaten Dadurch wird festgelegt, wo sich der Benutzer befindet. Zusätzlich werden weitere Daten von den Maschinen heruntergeladen, Dieses Modul wird auch dauern Screenshots in regelmäßigen Abständen und auch andere Trojaner und Malware laden. Die dokumentierten Beispiele umfassen Ursnif Das ist eine häufige fortgeschrittene Infektion.
Die aktualisierte Version des Valar-Trojaners enthält weitere Module und Plugins, die die Funktionalität der Haupt-Engine erweitern. Die Forscher stellen fest, dass Valar als fortgeschrittenes Risiko angesehen wird, da es sich im System und auch verstecken kann Ändern Sie die Windows-Registrierung. Dies bedeutet, dass der Virus Werte für sich selbst erstellt oder vorhandene bearbeitet, um sich vor dem Erkennen oder Entfernen zu schützen.
Malware dieser Kategorie kann verwendet werden, um Aktionen wie die folgenden auszuführen:
- Informationsbeschaffung — Die entführten Maschinendaten und persönlichen Benutzerinformationen können für andere Straftaten wie finanziellen Missbrauch und Identitätsdiebstahl verwendet werden.
- Überwachung — Mit der Trojaner-Engine können die Hacker die Opfer ausspionieren und die Kontrolle über die infizierten Computer übernehmen.
- Zusätzliche Virus-Infektionen — Mit dem Valar-Trojaner können andere Arten von Viren auf den Opfersystemen installiert werden. Beliebte Optionen sind die Dateiverschlüsselung Ransomware Dadurch werden Benutzerdateien gesperrt und eine Entschlüsselungsgebühr verlangt. Eine Alternative ist die Installation von Browser-Hijacker Dies sind gefährliche Plugins, die mit allen gängigen Webbrowsern kompatibel gemacht wurden. Sie leiten die Benutzer zu Phishing-Seiten weiter, Betrug und von Hackern kontrollierte Seiten.
Eines der Hauptziele des Trojaners ist es Zugriff auf die installierten Microsoft Exchange-Server erhalten. Dies schließt die gespeicherten Anmeldeinformationen ein, vertrauliche Inhalte und das Domain-Zertifikat. Die durchgeführte Analyse zeigt, dass die verschiedenen Versionen des Trojaners seine Infrastruktur gemeinsam nutzen. Dies bedeutet, dass die Hacker eine große Ressource unter ihrer Kontrolle haben. Es ist sehr wahrscheinlich, dass die Hacker russischer Herkunft sind, da davon ausgegangen wird, dass die eingesetzten Bedrohungen von Russland aus operieren.