美国安全企业Cybereason近日披露了一个去年底才出现的恶意程序Valak,指出它最初只被归类为恶意程序下载器(malware loader),但短短的半年内,它就发布了超过30个不同的版本,同时演变成一个至少具备6个模块的复杂恶意程序,其中一个恶意模块可用来窃取微软的Exchange服务器凭证。
根据研究人员的分析,Valak主要被用来执行目标式攻击,对象包括个人,以及美国与德国的大型企业。
最常被Valak用来作为感染媒介的是Word文件,黑客在邮件中附带了含有恶意宏的Word文件,成功进驻用户系统之后,就能与黑客所设立的C&C服务器创建连接,以下载其它的恶意模块,目前至少观察到6种不同的恶意模块,分别可用来探测系统信息、确认目标对象的所当地、搜集受害系统的执行程序、执行网络侦测、捕获受害计算机的屏幕截屏,以及窃取Exchange的凭证以入侵企业的电子邮件系统。
分析显示,该名为Exchgrabber的恶意模块主要用来汲取Exchange服务器的资料,包括域名的密码与凭证,取得这些机密资料将允许黑客进入企业内部电子邮件服务的域名,借由其它模块则能得知域名管理员的身份,进而执行大规模的间谍行动,也彰显了黑客的头号目标就是大型企业。
除了发展出复杂的恶意模块以外,Valak也弃用了容易被侦测到的PowerShell,而采用诸如ADS等高端的躲避技术。
研究人员认为,Valak日益增长的能力使得它可独立使用,不必再搭配其它的恶意程序,即便如此,Valak作者似乎正与其它恶意程序作者合作,以打造出更加危险的恶意程序,应加以警惕。