Les auteurs du voleur d’informations Valak se concentrent de plus en plus sur le vol d’informations d’identification par e-mail, les chercheurs trouvant un nouveau module spécialement conçu à cet effet.

Le malware est apparu en mode test à la mi-octobre 2019 et possède une architecture de plug-in modulaire qui étend ses capacités pour couvrir les besoins de l’acteur de la menace.

Attaques par chaîne de réponse

Valak a été développé à un rythme accéléré, avec plus de 30 variantes identifiées en six mois. Il a commencé comme un chargeur de logiciels malveillants qui a évolué plus tard vers un voleur d’informations se concentrant sur les cibles de l’entreprise.

Il peut s’infiltrer dans les serveurs Microsoft Exchange pour voler des données du système de messagerie telles que les informations d’identification et les certificats de domaine qui permettraient d’accéder à un utilisateur de domaine interne.

Dans une analyse technique publiée aujourd’hui, les chercheurs de la société de cybersécurité SentinelOne fournissent des détails sur un nouveau plugin appelé «clientgrabber», dont la tâche est de voler les informations d’identification de courrier électronique dans le registre d’une machine compromise.

L’accès aux boîtes de réception des utilisateurs permet aux acteurs de la menace d’exécuter ce que l’on appelle des «attaques par chaîne de réponse», où ils introduisent un message malveillant dans un fil de messagerie pour diffuser des logiciels malveillants.

Cette tactique a été observée avec d’autres familles de logiciels malveillants. Emotet a commencé à l’utiliser lors de sa relance l’année dernière et la société indépendante de services de cybersécurité CSIS a repéré QakBot faire de même cette année.

Le détournement de fil de messagerie est une tendance croissante avec QakBot, selon une étude récente du cabinet de conseil en risques mondial Kroll.

Clientgrabber de Valak

Les chercheurs de Cybereason Nocturnus ont publié fin mai un rapport technique complet sur Valak, détaillant ses techniques, ses composants, ainsi que les principales régions ciblées (États-Unis et Allemagne).

Lors de ses recherches sur le logiciel malveillant, SentinelOne a trouvé le plugin «clientgrabber» qui vérifie les mots de passe dans les emplacements de registre liés au client Outlook de Microsoft.

Quelques détails sur ce module …