最新Valak惡意程式可竊取Exchange伺服器憑證

美國資安業者Cybereason近日揭露了一個去年底才出現的惡意程式Valak，指出它最初只被歸類為惡意程式下載器（malware loader），但短短的半年內，它就釋出了超過30個不同的版本，同時演變成一個至少具備6個模組的複雜惡意程式，其中一個惡意模組可用來竊取微軟的Exchange伺服器憑證。

根據研究人員的分析，Valak主要被用來執行目標式攻擊，對象包括個人，以及美國與德國的大型企業。

最常被Valak用來作為感染媒介的是Word文件，駭客在郵件中夾帶了含有惡意巨集的Word文件，成功進駐使用者系統之後，就能與駭客所設立的C&C伺服器建立連結，以下載其它的惡意模組，目前至少觀察到6種不同的惡意模組，分別可用來探測系統資訊、確認目標對象的所在地、蒐集受害系統的執行程序、執行網路偵測、捕獲受害電腦的螢幕截圖，以及竊取Exchange的憑證以入侵企業的電子郵件系統。

分析顯示，此一名為Exchgrabber的惡意模組主要用來汲取Exchange伺服器的資料，包括網域的密碼與憑證，取得這些機密資料將允許駭客進入企業內部電子郵件服務的網域，藉由其它模組則能得知網域管理員的身分，進而執行大規模的間諜行動，也彰顯了駭客的頭號目標就是大型企業。

除了發展出複雜的惡意模組以外，Valak也棄用了容易被偵測到的PowerShell，而採用諸如ADS等進階的躲避技術。

研究人員認為，Valak日益增長的能力使得它可獨立使用，不必再搭配其它的惡意程式，即便如此，Valak作者似乎正與其它惡意程式作者合作，以打造出更加危險的惡意程式，應加以警惕。