Zwischen IT-Sicherheitsfirmen und den Entwicklern von Malware findet ein kontinuierliches Katz- und Mausspiel statt. Einerseits passen die Cyber-Kriminellen ihre Erzeugnisse immer wieder so an, dass sie nicht sofort von Security-Lösungen erkannt und geblockt werden können. Ferner erweitern sie ihre Schädlinge immer wieder um neue Funktionen, so dass andererseits die IT-Security-Anbieter ihre Abwehrmechanismen ständig nachrüsten müssen.
Ein Beispiel dafür ist die Malware Valak, die erst vor etwas mehr als einem halben Jahr entdeckt wurde. Valak ist bislang noch recht unbekannt, hat aber laut Cybereason Nocturnus das Zeug zu einer ernsthaften Bedrohung zu werden. Der Sicherheitsanbieter hat verschiedene Exemplare von Valak unter die Lupe genommen. Der Schädling ist demnach modular aufgebaut und wurde in den vergangenen Monaten in hohem Tempo weiterentwickelt.
Valak ist den Forschern erstmals Ende 2019 als vergleichsweise einfacher Malware-Loader aufgefallen, der andere Schadprogramme nachinstalliert. Seitdem wurden mehr als 30 Versionen entdeckt, die immer wieder um neue Funktionen ergänzt worden waren. So greifen aktuelle Varianten gezielt Exchange-Server in deutschen und amerikanischen Unternehmen an und versuchen, E-Mail-Daten sowie Passwörter zu stehlen.
Modularer Aufbau
Mittlerweile kann Valak auch mit Plug-ins erweitert werden, die neue Funktionen nachrüsten, schreibt Cybereason Nocturnus in einer Analyse. Außerdem gehört die Malware zu den dateilosen Vertretern, die sich in der Registry verbergen können. Valak sammelt nicht nur Daten aus Exchange-Servern, sondern kann auch Screenshots des Bildschirminhalts anfertigen und den aktuellen Standort des verseuchten Computers identifizieren.
Zur Verbreitung verwenden die Kriminellen vor allem verseuchte Word-Dokumente, die Makro-Code enthalten. Der Text dieser Dateien sei je nach Ziel in Deutsch oder Englisch verfasst. Die Makros laden weiteren Schadcode herunter, der dann auf dem System ausgeführt und versteckt wird. Später kann Valak Module wie "Exchgrabber" nachladen. Dieses Plug-in dient unter anderem dazu, das Domain-Passwort eines angegriffenen Exchange-Servers zu extrahieren und über das Internet an die Urheber des Schädlings zu senden.
Wenn es Valak gelinge, einen Exchange-Server zu infiltrieren, versuche er auch, die Login-Daten des Administrators sowie das Domain-Zertifikat zu klauen. Obwohl der Schädling bereits jetzt sehr gefährlich sei, rechnen die Experten von Cybereason Nocturnus damit, dass in Zukunft noch weit gefährlichere Varianten erscheinen werden.