Malware Valak expande sus objetivos con nueva campaña maliciosa

07 Julio 2020
Alto

Una reciente investigación de Cisco Talos, detallaría que en los últimos meses, el malware Valak ha expandido sus campañas maliciosas a otras partes del mundo, esta vez, los atacantes han centrado la mayor parte de su atención en grandes empresas, para obtener ganancias monetarias con la venta de información extraída y su característica de Malware-as-a-Service.

Malware Valak

El Valak Malware es un sofisticado malware previamente clasificado como un "distribuidor de malware" (malware loader). Se observó por primera vez a fines de 2019, sin embargo ha presentado una continua evolución que conlleva más de 30 versiones diferentes en menos de seis meses. Esta investigación muestra que Valak es más que un simple distribuidor de otros malwares, ya que hace un par de meses se validaron nuevas funcionalidades que le permitirían trabajar de forma independiente como un info-stealer (ladrón de información) que estaría apuntando a personas y empresas.

Si bien, en un principio, Valak estuvo focalizado principalmente en EE.UU. y Alemania, los investigadores de Cisco Talos han encontrado que el malware se estaría expandiendo por América del Norte y América del Sur, junto con otros países de Europa, lo que enciende las alarmas de nuestro equipo de threat intelligence.

Lo que hace que Valak se destaque entre la multitud es el uso de hilos de correo electrónico robados para su distribución, lo que aumenta la probabilidad de que la víctima abra los archivos adjuntos entregados. En los últimos meses, el malware ha evidenciado una mayor distribución, con campañas dirigidas a sectores específicos como energía, salud, manufactura, transporte, finanzas y seguros.

Modus Operandi

Las características clave de Valak incluyen:

  • Utiliza el registro para almacenar diferentes componentes.
  • Reconocimiento: Recopila información de usuario, máquina y red de hosts infectados.
  • Geolocalización: Comprueba la ubicación geográfica de la máquina de la víctima.
  • Captura de pantalla: Toma capturas de pantalla de la máquina infectada.
  • Distribuidor de Malware: descarga complementos adicionales y otros malwares, lo que lo convierte en un Malware-as-a-Service (MaaS).
  • Ataques dirigidos: sus objetivos son administradores y redes empresariales.
  • Se infiltra en el servidor de Exchange: recopila y roba información confidencial del sistema de correo de Microsoft Exchange, incluidas las credenciales y el certificado de dominio.

Entre sus mejoras, el recurso más importante e interesante visualizado en las versiones más recientes de Valak es un componente llamado "PluginHost". PluginHost proporciona comunicación con el servidor C2 y descarga complementos adicionales bajo el nombre "ManagedPlugin". Entre los complementos observados se encuentran "Systeminfo" y "Exchgrabber", que parecen dirigirse específicamente a empresas.

En las campañas actuales, el vector de infección más común es a través de SpearPhishing junto con MALSPAM, en donde se adjuntan documentos de ofimática principalmente "Microsoft Word" integrados con código macro malicioso. El contenido de los documentos estaría escrito en el idioma del objetivo, sin embargo agunas veces se evidencian faltas de ortografía y mal uso de artículos que podría ser un buen indicador de prevención ante este tipo de ataques.

Debemos destacar que durante el último trimestre el uso de spear phishing como vector de entrada, aumentó vertiginosamente destacando sobre el resto.

Casos connotados

En uno de los ataques observados contra la banca, los atacantes enviaron una respuesta a un correo electrónico de un mes de antigüedad e incluyeron un archivo comprimido .ZIP protegido con contraseña y firmas de correo electrónico para proporcionar un sentido de legitimidad. Otros correos electrónicos fueron enviados horas después al mismo destinatario.

El equipo de Cisco Talos señala que:
Este comportamiento realza el por qué estas campañas pueden tener una alta tasa de éxito: se envían desde hilos de correo electrónico existentes entre colegas o conocidos. Este simple cambio aumentará en gran medida la probabilidad de éxito, por la tendencia natural de la gente a confiar en remitentes conocidos. Esto, combinado con archivos comprimidos protegidos con contraseña, puede eludir en gran edida la seguridad del correo electrónico y aumentar la probabilidad de que el correo electrónico llegue a la bandeja de entrada del objetivo”.


Por su parte, en un ataque dirigidos a un proveedor de seguros, los entes maliciosos enviaron respuestas a hilos de correo electrónico de declaraciones juradas después de comprometer las cuentas de correo electrónico de una firma de abogados.

Una característica común de estos ataques fue el uso de archivos comprimidos protegidos con contraseña como archivos adjuntos, lo que aumentó la probabilidad de eludir los sistemas de detección. Los investigadores descubrieron que algunos de estos malspam incluso se enviaron a múltiples destinatarios dentro de la organización, incluido el personal de soporte de TI.

Los ataques se observaron aprovechando varios idiomas, incluidos inglés, alemán y español. Las campañas se rastrearon desde principios de 2020, pero la mayoría de los ataques se llevaron a cabo en los meses de mayo y junio. Si bien los atacantes no envían grandes volúmenes de spam, se cree que su técnica ha devuelto una alta tasa de éxito.

Panorama

Valak es una familia de malware modular en constante evolución que presenta capacidades robustas y tiene éxito en infectar sistemas en las diversas regiones geográficas a las que ha atacado. 

En un mundo donde el malspam se crea y envía constantemente, el objetivo es llegar a las bandejas de entrada. Como industria, siempre estamos mejorando en la detección de malspam y los adversarios siempre estarán buscando formas de avanzar. Hemos visto con Valak que el correo electrónico robado es una manera efectiva de aumentar no solo la probabilidad de llegar a la bandeja de entrada de un usuario, sino que el usuario será receptivo al correo no deseado.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
  • No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
  • Analizar la factibilidad de implementar configuraciones de políticas de seguridad que restrinjan el uso de macros en los documentos de ofimática, capaces de exceptuar aquellas firmadas digitalmente con sus proveedores o colaboradores
  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #valak #malware #correo #electrónico #ZIP #cisco #malspam #spearphishing #phishing


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.