Casa > cibernético Notícias > Microsoft Exchange Servers Under Attack By Valar Trojan
CYBER NEWS

Servidores Microsoft Exchange sob ataque de Trojan Valar

Imagem de Valar Trojan

O Trojan Valar, que foi detectado pela primeira vez no ano passado, está sendo usado atualmente em um ataque generalizado contra servidores Microsoft Exchange. O grupo de hackers por trás dele ainda não é conhecido e o malware está direcionado principalmente contra a Alemanha e os EUA.. É classificado como uma ameaça avançada que é entregue aos computadores das vítimas de uma maneira de vários estágios.




Trojan Valar ataca servidores do Microsoft Exchange

O Valar Trojan é um malware sofisticado que atualmente é usado como uma arma contra servidores Microsoft Exchange. Os hackers que estão por trás da campanha estão usando para segmentar máquinas localizadas na Alemanha e nos EUA.. O que é particularmente perigoso é o fato de que a ameaça é entregue em uma estratégia de infecção complexa que usa um mecanismo de instalação em vários estágios. O malware real não é novo, as primeiras amostras foram detectadas em uma campanha anterior em 2019. Um novo grupo de hackers pegou o código de Trojan e o usou em sua campanha de ataque.

Os criminosos estão usando uma nova estratégia que emprega documentos infectados com macro que são criados em inglês e alemão. Esses arquivos são abertos no Microsoft Word e incluem scripts perigosos. Eles são distribuídos para os usuários finais de destino, dependendo da estratégia de phishing. A maneira mais provável é enviar mensagens de e-mail que pode incluir saudações personalizadas ou genéricas e vincular ou anexar esses documentos. Quando os destinatários os abrirem nos computadores locais, será exibida uma mensagem solicitando a ativação dos scripts internos. Isso levará à implantação do Trojan Valar.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/remove-ursnif-trojan-purolator-phishing-scam/”]Remover Ursnif Trojan (Purolator Phishing) Golpe

o instalação inicial Isso é feito infectando o sistema seguindo uma sequência complexa de infecção. Uma das primeiras ações que serão executadas inclui uma extensa ação de coleta de dados que é projetado para extrair dados da máquina e informações relacionadas à identidade. Um dos ativos importantes que são seqüestrados é o dados de geolocalização que determinará onde o usuário está localizado. Além disso, mais dados serão baixados das máquinas, este módulo também levará screenshots em intervalos regulares e também carregar outros cavalos de Troia e malware. Os exemplos documentados incluem Ursnif que é uma infecção avançada comum.

A versão atualizada do Trojan Valar inclui outros módulos e plugins que ampliam a funcionalidade do mecanismo principal. Os pesquisadores observam que o Valar é considerado um risco avançado, pois pode se esconder no sistema e também modificar o registro do Windows. Isso significa que o vírus criará valores para si mesmo ou editará os existentes para se proteger da descoberta ou remoção.

O malware desta categoria pode ser usado para executar ações como as seguintes:

  • Coleta de informações — Os dados seqüestrados da máquina e as informações pessoais do usuário podem ser usados ​​para outros crimes, como abuso financeiro e roubo de identidade.
  • Vigilância — O mecanismo Trojan permitirá que os hackers espionem as vítimas e assumam o controle das máquinas infectadas.
  • Infecções de vírus adicionais — O Trojan Valar pode ser usado para instalar outros tipos de vírus nos sistemas das vítimas. As opções populares incluem criptografia de arquivos ransomware que trava os arquivos do usuário e exige o pagamento de uma taxa de descriptografia. Uma alternativa é a instalação de seqüestradores de navegador que são plugins perigosos, compatíveis com todos os navegadores populares. Eles redirecionarão os usuários para páginas de phishing, golpes e páginas controladas por hackers.

Um dos principais objetivos do cavalo de Tróia é obter acesso aos servidores Microsoft Exchange instalados. Isso inclui as credenciais armazenadas, conteúdo sensível e o certificado de domínio. A análise realizada mostra que as diferentes versões do Trojan compartilham sua infraestrutura. Isso significa que os hackers têm um grande recurso sob seu controle. É muito possível que os hackers sejam de origem russa, pois presume-se que as ameaças implantadas estejam operando na Rússia.

Martin Beltov

Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...