Le cheval de Troie Valar, détecté pour la première fois l'année dernière, est actuellement utilisé dans une attaque généralisée contre les serveurs Microsoft Exchange.. Le groupe de piratage derrière lui n'est pas encore connu et le malware cible principalement l'Allemagne et les États-Unis.. Il est considéré comme une menace avancée qui est transmise aux ordinateurs victimes de manière multi-étapes.
Un cheval de Troie Valar attaque les serveurs Microsoft Exchange
Valar Trojan est un malware sophistiqué qui est actuellement utilisé comme arme contre les serveurs Microsoft Exchange. Les pirates informatiques à l'origine de la campagne l'utilisent pour cibler des machines situées en Allemagne et aux États-Unis.. Ce qui est particulièrement dangereux est le fait que la menace est livrée dans une stratégie d'infection complexe qui utilise un mécanisme d'installation en plusieurs étapes. Le malware réel n'est pas nouveau, les premiers échantillons ont été détectés lors d'une campagne précédente en 2019. Un nouveau groupe de piratage a pris le code cheval de Troie et l'a utilisé dans sa campagne d'attaque.
Les criminels utilisent une nouvelle stratégie qui utilise macro-documents infectés qui sont créés en anglais et en allemand. Ces fichiers sont ouverts dans Microsoft Word et incluent des scripts dangereux. Ils sont diffusés aux utilisateurs finaux cibles en fonction du stratégie de phishing. Le moyen le plus probable est d'envoyer messages électroniques qui peuvent inclure des salutations personnalisées ou génériques et lier ou joindre ces documents. Lorsque les destinataires les ouvrent sur leurs ordinateurs locaux, un message apparaît leur demandant d'activer les scripts intégrés. Cela conduira au déploiement du cheval de Troie Valar.
La installation initiale se fait en infectant le système en suivant une séquence d'infection complexe. L'une des premières actions qui sera menée comprend une vaste action de collecte de données qui est conçu pour extraire les données machine et les informations liées à l'identité. L'un des atouts importants détournés est le données de géolocalisation qui déterminera où se trouve l'utilisateur. De plus, plus de données seront téléchargées à partir des machines, ce module prendra également captures d'écran à intervalles réguliers et également charger d'autres chevaux de Troie et logiciels malveillants. Les exemples documentés incluent Ursnif qui est une infection avancée courante.
La version mise à jour du cheval de Troie Valar comprend d'autres modules et plugins qui étendent les fonctionnalités du moteur principal. Les chercheurs notent que Valar est considéré comme un risque avancé car il peut se cacher dans le système et aussi modifier le Registre Windows. Cela signifie que le virus va créer des valeurs pour lui-même ou modifier celles existantes afin de se protéger de la découverte ou de la suppression.
Les logiciels malveillants de cette catégorie peuvent être utilisés pour effectuer des actions telles que les suivantes:
- La collecte d'informations — Les données machine détournées et les informations personnelles de l'utilisateur peuvent être utilisées pour d'autres délits tels que l'exploitation financière et le vol d'identité.
- Surveillance — Le moteur de Troie permettra aux pirates d'espionner les victimes et de prendre le contrôle des machines infectées.
- Infections à virus supplémentaires — Le cheval de Troie Valar peut être utilisé pour installer d'autres types de virus sur les systèmes victimes. Les options populaires incluent le cryptage de fichiers ransomware qui verrouillera les fichiers utilisateur et exigera le paiement de frais de déchiffrement. Une alternative est l'installation de les pirates de navigateur qui sont des plugins dangereux rendus compatibles avec tous les navigateurs Web populaires. Ils redirigeront les utilisateurs vers des pages de phishing, escroqueries et pages contrôlées par des pirates.
L'un des principaux objectifs du cheval de Troie est de accéder aux serveurs Microsoft Exchange installés. Cela inclut les informations d'identification stockées, contenu sensible et certificat de domaine. L'analyse menée montre que les différentes versions du cheval de Troie partagent son infrastructure. Cela signifie que les pirates ont une grande ressource sous leur contrôle. Il est très possible que les pirates soient d'origine russe car les menaces déployées sont supposées provenir de Russie.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: