El troyano Valar que se detectó por primera vez el año pasado se está utilizando actualmente en un ataque generalizado contra servidores de Microsoft Exchange. Todavía no se conoce el grupo de piratería detrás de él y el malware está dirigido principalmente contra Alemania y los EE. UU.. Se clasifica como una amenaza avanzada que se entrega a las computadoras de la víctima en una etapa múltiple.
El troyano Valar ataca a los servidores de Microsoft Exchange
Valar Trojan es un sofisticado malware que actualmente se usa como arma contra los servidores de Microsoft Exchange. Los hackers que están detrás de la campaña la están utilizando para atacar máquinas ubicadas en Alemania y EE. UU.. Lo que es particularmente peligroso es el hecho de que la amenaza se entrega en una estrategia de infección compleja que utiliza un mecanismo de instalación de múltiples etapas.. El malware real no es nuevo., Las primeras muestras se detectaron en una campaña anterior en 2019. Un nuevo grupo de hackers ha tomado el código de Troya y lo ha usado en su campaña de ataque..
Los delincuentes están utilizando una nueva estrategia que emplea documentos macro-infectados que se crean en inglés y alemán. Estos archivos se abren en Microsoft Word e incluyen scripts peligrosos. Se extienden a los usuarios finales de destino según el estrategia de phishing. La forma más probable es enviar mensajes de correo electrónico que puede incluir saludos personalizados o genéricos y vincular o adjuntar estos documentos. Cuando los destinatarios los abran en sus computadoras locales, aparecerá un mensaje pidiéndoles que habiliten los scripts incorporados. Esto conducirá al despliegue del troyano Valar.
El instalación inicial se realiza infectando el sistema siguiendo una secuencia de infección compleja. Una de las primeras acciones que se ejecutará incluye una extensa acción de recopilación de datos que está diseñado para extraer datos de la máquina e información relacionada con la identidad. Uno de los activos importantes que son secuestrados es el datos de geolocalización que determinará dónde se encuentra el usuario. Además, se descargarán más datos de las máquinas, este módulo también tomará capturas de pantalla a intervalos regulares y también cargar otros troyanos y malware. Los ejemplos documentados incluyen Ursnif que es una infección avanzada común.
La versión actualizada del Valar Trojan incluye otros módulos y complementos que amplían la funcionalidad del motor principal.. Los investigadores señalan que Valar se considera un riesgo avanzado ya que puede ocultarse en el sistema y también modificar el registro de Windows. Esto significa que el virus creará valores para sí mismo o editará los existentes para salvaguardarse del descubrimiento o la eliminación..
El malware de esta categoría se puede utilizar para llevar a cabo acciones como las siguientes:
- Recopilación de información — Los datos de la máquina secuestrada y la información personal del usuario se pueden usar para otros delitos como el abuso financiero y el robo de identidad.
- Vigilancia — El motor troyano permitirá a los piratas informáticos espiar a las víctimas y tomar el control de las máquinas infectadas..
- Infecciones por Virus adicionales — El troyano Valar se puede utilizar para instalar otros tipos de virus en los sistemas de las víctimas.. Las opciones populares incluyen cifrado de archivos ransomware que bloqueará los archivos del usuario y exigirá que se pague una tarifa de descifrado. Una alternativa es la instalación de secuestradores de navegador que son complementos peligrosos compatibles con todos los navegadores web populares. Redirigirán a los usuarios a páginas de phishing, estafas y páginas controladas por hackers.
Uno de los principales objetivos del troyano es obtener acceso a los servidores instalados de Microsoft Exchange. Esto incluye las credenciales almacenadas, contenido sensible y el certificado de dominio. El análisis realizado muestra que las diferentes versiones del troyano comparten su infraestructura. Esto significa que los hackers tienen un gran recurso bajo su control.. Es muy posible que los piratas informáticos sean de origen ruso, ya que se supone que las amenazas desplegadas operan desde Rusia.