انتشار بدافزار Valak

به گزارش کارگروه امنیت سایبربان؛ کارشناسان شرکت امنیت سایبری «Cyberreason» به‌تازگی موفق شدند برخی از حملات و نسخه‌های بدافزار والاک (Valak) را شناسایی کنند. 

والاک با حملات فیشینگ و اسناد ورد که حاوی ماکروهای مخرب هستند توزیع می‌شود. زمانی که این بدافزار به سیستم قربانی نفوذ می‌کند، یک فایل .DLL با نام U.tmp­ بارگذاری و در پوشه موقت ذخیره می‌شود.

سپس تابع APIی به نام WinExec به اجرا درآمده و هم‌زمان با برقراری اتصال به سرورهای کنترل، کدهای جاوااسکریپت و فایل‌های مخرب در هاست آلوده بارگذاری و با استفاده از توابع Base64 و XOR رمزگشایی می‌شوند. 

والاک جهت ماندگاری در سیستم تغییراتی در رجیستری وارد کرده و وظایف زمان‌بندی‌شده ایجاد می‌کند. سپس اقدام به بارگیری و راه‌اندازی ماژول‌های مخرب که مسئولیت شناسایی و سرقت داده را بر عهده‌دارند، می‌کند.

این بدافزار دو پیلود اصلی به‌نام‌های project.aspx و a.aspx یا PluginHost.exe دارد که قابلیت‌های مختلفی از خود نشان می‌دهند. اولی کلیدهای رجیستری را کنترل کرده، تنظیم وظایف و برخی فعالیت‌های مخرب را بر عهده دارد و دومی به‌عنوان یک فایل اجرایی برای هدایت اجزای مختلف بدافزار مورداستفاده قرار می‌گیرد. 

اپراتورهای والاک با بهره‌گیری از ماژول ManagedPlugin اطلاعات سیستم را جمع‌آوری کرده و با سرقت اعتبارنامه‌ها و گواهی‌های دامنه به مایکروسافت اکسچنج نفوذ کرده و اقدام به جاسوسی از شبکه می‌کنند. 

بدافزار والاک که در سال 2019 شناسایی‌شده است طی نیم سال اخیر بیش از 30 بار به‌روزرسانی شده و به یک تهدید تمام‌عیار و مستقل و پیچیده تبدیل‌شده است.

نسخه‌های اولیه این بدافزار سرورهای مایکروسافت اکسچنج را هدف قرار داده و به اطلاعات ایمیل‌های سازمانی و پسورد حساب‌های کاربری و گواهی‌نامه‌های دیجیتال دسترسی پیدا می‌کردند. 

والاک پیشتر به‌عنوان بارگذار بدافزار عمل می‌کرد و در حال حاضر نیز به یک بدافزار ماژولار چندمرحله‌ای و پیچیده تبدیل‌شده و علیه شرکت‌های آمریکایی و آلمانی به کارگرفته می‌شود.