Il Valar Trojan che è stato rilevato per la prima volta l'anno scorso è attualmente utilizzato in un attacco diffuso contro i server Microsoft Exchange. Il gruppo di hacker dietro di esso non è ancora noto e il malware si rivolge principalmente alla Germania e agli Stati Uniti. È classificato come una minaccia avanzata che viene consegnato ai computer della vittima in un modo a più fasi.
Valar Trojan attacca i server Microsoft Exchange
Valar Trojan è un malware sofisticato che viene attualmente utilizzato come arma contro i server Microsoft Exchange. Gli hacker che stanno dietro la campagna lo usano per colpire macchine situate in Germania e negli Stati Uniti. Ciò che è particolarmente pericoloso è il fatto che la minaccia viene fornita in una complessa strategia di infezione che utilizza un meccanismo di installazione in più fasi. Il malware attuale non è nuovo, i primi campioni sono stati rilevati in una campagna precedente in 2019. Un nuovo gruppo di hacking ha preso il codice Trojan e lo ha usato nella sua campagna di attacco.
I criminali stanno usando una nuova strategia che impiega documenti macro-infettati che vengono creati in inglese e tedesco. Questi file sono aperti in Microsoft Word e includono script pericolosi. Sono distribuiti agli utenti finali target a seconda del strategia di phishing. Il modo più probabile è inviare messaggi e-mail che possono includere saluti personalizzati o generici e collegare o allegare questi documenti. Quando i destinatari li aprono sui loro computer locali, verrà visualizzato un messaggio che chiede loro di abilitare gli script integrati. Ciò porterà allo spiegamento del Valar Trojan.
Il installazione iniziale viene fatto infettando il sistema seguendo una complessa sequenza di infezione. Una delle prime azioni che verranno eseguite include una vasta azione di raccolta dati progettato per estrarre i dati della macchina e le informazioni relative all'identità. Uno dei beni importanti che vengono dirottati è il dati di geolocalizzazione che determinerà dove si trova l'utente. Inoltre verranno scaricati più dati dalle macchine, prenderà anche questo modulo schermate a intervalli regolari e carica anche altri Trojan e malware. Gli esempi documentati includono Ursnif che è un'infezione avanzata comune.
La versione aggiornata di Valar Trojan include altri moduli e plug-in che estendono le funzionalità del motore principale. I ricercatori osservano che Valar è considerato un rischio avanzato in quanto può nascondersi nel sistema e anche modificare il Registro di Windows. Ciò significa che il virus creerà valori per se stesso o modificherà quelli esistenti al fine di proteggersi dalla scoperta o dalla rimozione.
I malware di questa categoria possono essere utilizzati per eseguire azioni come le seguenti:
- Raccolta di informazioni — I dati della macchina dirottata e le informazioni personali dell'utente possono essere utilizzati per altri reati come l'abuso finanziario e il furto di identità.
- Sorveglianza — Il motore Trojan consentirà agli hacker di spiare le vittime e assumere il controllo delle macchine infette.
- Ulteriori Infezioni da virus — Il Trojan Valar può essere utilizzato per installare altri tipi di virus sui sistemi delle vittime. Le opzioni più popolari includono la crittografia dei file ransomware che bloccherà i file dell'utente e richiederà il pagamento di una commissione di decrittazione. Un'alternativa è l'installazione di browser hijacker che sono plugin pericolosi resi compatibili con tutti i browser Web più diffusi. Reindirizzeranno gli utenti alle pagine di phishing, truffe e pagine controllate dagli hacker.
Uno dei principali obiettivi del Trojan è quello di ottenere l'accesso ai server di Microsoft Exchange installati. Ciò include le credenziali archiviate, contenuti sensibili e certificato di dominio. L'analisi condotta mostra che le diverse versioni del Trojan condividono la sua infrastruttura. Ciò significa che gli hacker hanno una grande risorsa sotto il loro controllo. È molto probabile che gli hacker siano di origine russa poiché si presume che le minacce schierate operino dalla Russia.