O Trojan Valar, que foi detectado pela primeira vez no ano passado, está sendo usado atualmente em um ataque generalizado contra servidores Microsoft Exchange. O grupo de hackers por trás dele ainda não é conhecido e o malware está direcionado principalmente contra a Alemanha e os EUA.. É classificado como uma ameaça avançada que é entregue aos computadores das vítimas de uma maneira de vários estágios.
Trojan Valar ataca servidores do Microsoft Exchange
O Valar Trojan é um malware sofisticado que atualmente é usado como uma arma contra servidores Microsoft Exchange. Os hackers que estão por trás da campanha estão usando para segmentar máquinas localizadas na Alemanha e nos EUA.. O que é particularmente perigoso é o fato de que a ameaça é entregue em uma estratégia de infecção complexa que usa um mecanismo de instalação em vários estágios. O malware real não é novo, as primeiras amostras foram detectadas em uma campanha anterior em 2019. Um novo grupo de hackers pegou o código de Trojan e o usou em sua campanha de ataque.
Os criminosos estão usando uma nova estratégia que emprega documentos infectados com macro que são criados em inglês e alemão. Esses arquivos são abertos no Microsoft Word e incluem scripts perigosos. Eles são distribuídos para os usuários finais de destino, dependendo da estratégia de phishing. A maneira mais provável é enviar mensagens de e-mail que pode incluir saudações personalizadas ou genéricas e vincular ou anexar esses documentos. Quando os destinatários os abrirem nos computadores locais, será exibida uma mensagem solicitando a ativação dos scripts internos. Isso levará à implantação do Trojan Valar.
o instalação inicial Isso é feito infectando o sistema seguindo uma sequência complexa de infecção. Uma das primeiras ações que serão executadas inclui uma extensa ação de coleta de dados que é projetado para extrair dados da máquina e informações relacionadas à identidade. Um dos ativos importantes que são seqüestrados é o dados de geolocalização que determinará onde o usuário está localizado. Além disso, mais dados serão baixados das máquinas, este módulo também levará screenshots em intervalos regulares e também carregar outros cavalos de Troia e malware. Os exemplos documentados incluem Ursnif que é uma infecção avançada comum.
A versão atualizada do Trojan Valar inclui outros módulos e plugins que ampliam a funcionalidade do mecanismo principal. Os pesquisadores observam que o Valar é considerado um risco avançado, pois pode se esconder no sistema e também modificar o registro do Windows. Isso significa que o vírus criará valores para si mesmo ou editará os existentes para se proteger da descoberta ou remoção.
O malware desta categoria pode ser usado para executar ações como as seguintes:
- Coleta de informações — Os dados seqüestrados da máquina e as informações pessoais do usuário podem ser usados para outros crimes, como abuso financeiro e roubo de identidade.
- Vigilância — O mecanismo Trojan permitirá que os hackers espionem as vítimas e assumam o controle das máquinas infectadas.
- Infecções de vírus adicionais — O Trojan Valar pode ser usado para instalar outros tipos de vírus nos sistemas das vítimas. As opções populares incluem criptografia de arquivos ransomware que trava os arquivos do usuário e exige o pagamento de uma taxa de descriptografia. Uma alternativa é a instalação de seqüestradores de navegador que são plugins perigosos, compatíveis com todos os navegadores populares. Eles redirecionarão os usuários para páginas de phishing, golpes e páginas controladas por hackers.
Um dos principais objetivos do cavalo de Tróia é obter acesso aos servidores Microsoft Exchange instalados. Isso inclui as credenciais armazenadas, conteúdo sensível e o certificado de domínio. A análise realizada mostra que as diferentes versões do Trojan compartilham sua infraestrutura. Isso significa que os hackers têm um grande recurso sob seu controle. É muito possível que os hackers sejam de origem russa, pois presume-se que as ameaças implantadas estejam operando na Rússia.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: