به گزارش کارگروه امنیت سایبربان؛ کارشناسان شرکت امنیت سایبری «Cyberreason» بهتازگی موفق شدند برخی از حملات و نسخههای بدافزار والاک (Valak) را شناسایی کنند.
والاک با حملات فیشینگ و اسناد ورد که حاوی ماکروهای مخرب هستند توزیع میشود. زمانی که این بدافزار به سیستم قربانی نفوذ میکند، یک فایل .DLL با نام U.tmp بارگذاری و در پوشه موقت ذخیره میشود.
سپس تابع APIی به نام WinExec به اجرا درآمده و همزمان با برقراری اتصال به سرورهای کنترل، کدهای جاوااسکریپت و فایلهای مخرب در هاست آلوده بارگذاری و با استفاده از توابع Base64 و XOR رمزگشایی میشوند.
والاک جهت ماندگاری در سیستم تغییراتی در رجیستری وارد کرده و وظایف زمانبندیشده ایجاد میکند. سپس اقدام به بارگیری و راهاندازی ماژولهای مخرب که مسئولیت شناسایی و سرقت داده را بر عهدهدارند، میکند.
این بدافزار دو پیلود اصلی بهنامهای project.aspx و a.aspx یا PluginHost.exe دارد که قابلیتهای مختلفی از خود نشان میدهند. اولی کلیدهای رجیستری را کنترل کرده، تنظیم وظایف و برخی فعالیتهای مخرب را بر عهده دارد و دومی بهعنوان یک فایل اجرایی برای هدایت اجزای مختلف بدافزار مورداستفاده قرار میگیرد.
اپراتورهای والاک با بهرهگیری از ماژول ManagedPlugin اطلاعات سیستم را جمعآوری کرده و با سرقت اعتبارنامهها و گواهیهای دامنه به مایکروسافت اکسچنج نفوذ کرده و اقدام به جاسوسی از شبکه میکنند.
بدافزار والاک که در سال 2019 شناساییشده است طی نیم سال اخیر بیش از 30 بار بهروزرسانی شده و به یک تهدید تمامعیار و مستقل و پیچیده تبدیلشده است.
نسخههای اولیه این بدافزار سرورهای مایکروسافت اکسچنج را هدف قرار داده و به اطلاعات ایمیلهای سازمانی و پسورد حسابهای کاربری و گواهینامههای دیجیتال دسترسی پیدا میکردند.
والاک پیشتر بهعنوان بارگذار بدافزار عمل میکرد و در حال حاضر نیز به یک بدافزار ماژولار چندمرحلهای و پیچیده تبدیلشده و علیه شرکتهای آمریکایی و آلمانی به کارگرفته میشود.
