De Valar-trojan die vorig jaar voor het eerst werd gedetecteerd, wordt momenteel gebruikt in een wijdverspreide aanval op Microsoft Exchange-servers. De hackgroep erachter is nog niet bekend en de malware richt zich voornamelijk op Duitsland en de VS.. Het wordt beoordeeld als een geavanceerde bedreiging die op meerdere fasen aan de computers van het slachtoffer wordt geleverd.
Valar Trojan valt Microsoft Exchange-servers aan
Valar Trojan is een geavanceerde malware die momenteel wordt gebruikt als wapen tegen Microsoft Exchange-servers. De hackers achter de campagne gebruiken het om machines in Duitsland en de VS te targeten. Wat bijzonder gevaarlijk is, is het feit dat de bedreiging wordt geleverd in een complexe infectiestrategie die gebruikmaakt van een meerfasig installatiemechanisme. De daadwerkelijke malware is niet nieuw, de eerste monsters werden ontdekt in een vorige campagne in 2019. Een nieuwe hackgroep heeft de Trojaanse code overgenomen en gebruikt in hun aanvalscampagne.
De criminelen gebruiken een nieuwe strategie die werkt -Macro geïnfecteerde documenten die zijn gemaakt in zowel Engels als Duits. Deze bestanden worden geopend in Microsoft Word en bevatten gevaarlijke scripts. Ze worden verspreid naar de beoogde eindgebruikers, afhankelijk van de phishing-strategie. De meest waarschijnlijke manier is verzenden e-mailberichten dat kan gepersonaliseerde of generieke begroetingen bevatten en deze documenten koppelen of bijvoegen. Wanneer de ontvangers ze openen op hun lokale computers, verschijnt er een bericht waarin hen wordt gevraagd de ingebouwde scripts in te schakelen. Dit zal leiden tot de inzet van de Valar Trojan.
Het eerste installatie wordt gedaan door het systeem te infecteren door een complexe infectievolgorde te volgen. Een van de eerste acties die zullen worden ondernomen omvat een uitgebreide actie voor het verzamelen van gegevens die is ontworpen om machinegegevens en identiteitsgerelateerde informatie te extraheren. Een van de belangrijkste activa die worden gekaapt, is de geolocatiegegevens die bepaalt waar de gebruiker zich bevindt. Bovendien worden er meer gegevens van de machines gedownload, deze module zal ook duren screenshots met regelmatige tussenpozen en laad ook andere Trojaanse paarden en malware. De gedocumenteerde voorbeelden omvatten Ursnif wat een veel voorkomende geavanceerde infectie is.
De bijgewerkte versie van de Valar Trojan bevat andere modules en plug-ins die de functionaliteit van de hoofdmotor uitbreiden. De onderzoekers merken op dat Valar wordt beschouwd als een geavanceerd risico, omdat het zichzelf ook in het systeem kan verbergen wijzigen van de Windows-register. Dit betekent dat het virus waarden voor zichzelf zal creëren of bestaande zal bewerken om zichzelf te beschermen tegen ontdekking of verwijdering.
Malware van deze categorie kan worden gebruikt om de volgende acties uit te voeren:
- Informatie verzamelen — De gekaapte machinegegevens en persoonlijke gebruikersinformatie kunnen worden gebruikt voor andere misdaden zoals financieel misbruik en identiteitsdiefstal.
- Toezicht — Met de Trojan-engine kunnen de hackers de slachtoffers bespioneren en de controle over de geïnfecteerde machines overnemen.
- Extra Virus Infecties — De Valar Trojan kan worden gebruikt om andere soorten virussen op de slachtoffer-systemen te installeren. Populaire opties zijn onder meer het versleutelen van bestanden ransomware waarmee gebruikersbestanden worden vergrendeld en een decoderingsvergoeding moet worden betaald. Een alternatief is de installatie van browser hijackers dit zijn gevaarlijke plug-ins die compatibel zijn gemaakt met alle populaire webbrowsers. Ze zullen de gebruikers omleiden naar phishing-pagina's, oplichting en door hackers gecontroleerde pagina's.
Een van de belangrijkste doelen van de Trojan is toegang krijgen tot de geïnstalleerde Microsoft Exchange-servers. Dit omvat de opgeslagen referenties, gevoelige inhoud en het domeincertificaat. Uit de uitgevoerde analyse blijkt dat de verschillende versies van de Trojan zijn infrastructuur delen. Dit betekent dat de hackers een grote bron onder controle hebben. Het is heel goed mogelijk dat de hackers van Russische afkomst zijn, omdat wordt aangenomen dat de ingezette bedreigingen vanuit Rusland opereren.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: