Pembuat malware Valak kini lebih berfokus pada mencuri rincian akun email ketika peneliti keamanan menemukan modul baru yang khusus dibuat untuk tujuan ini.
Malware ini muncul dalam mode pengujian pada pertengahan Oktober 2019 dan memiliki arsitektur plugin modular yang memperluas kemampuannya untuk memenuhi kebutuhan aktor penjahat siber.
Serangan Reply-chain
Valak telah dikembangkan dalam waktu yang sangat cepat, dengan lebih dari 30 varian teridentifikasi dalam enam bulan.
Dalam analisis teknis yang diterbitkan baru-baru ini, para peneliti di perusahaan keamanan siber SentinelOne memberikan rincian tentang plugin baru yang disebut “clientgrabber,” yang tugasnya mencuri rincian akun email dari registri mesin yang disusupi.
Akses ke inbox pengguna memungkinkan aktor penjahat siber menjalankan apa yang disebut dengan serangan reply-chain, di mana mereka menyelinapkan pesan berbahaya ke utas email untuk mengirimkan malware.
Baca Juga: “Decryptor Ransomware Ngeprank, Menginfeksi Korban Dengan Ransomware Lainnya“
Clientgrabber Malware Valak
Saat meneliti malware, peneliti SentinelOne menemukan plugin “clientgrabber” memeriksa kata sandi di lokasi registri terkait dengan aplikasi Microsoft Outlook.
Setelah diidentifikasi, plugin mencari ‘key’ dan menentukan metode enkripsi dan jika valuenya berisi data kata sandi, itu dapat didekripsi.
Selain kata sandi, semua data akun email (seperti nama pengguna, server) disimpan dalam teks biasa. SentinelOne mengatakan bahwa clientgrabber Valak “akan memeriksa bahwa valuenya menggunakan metode enkripsi yang lebih baru.”
Baca Juga: “Decryptor Ransomware Ngeprank, Menginfeksi Korban Dengan Ransomware Lainnya“
Para peneliti mengatakan bahwa Valak terhubung dengan malware Gozi, yang diketahui berasal dari Rusia, sampai taraf dimana struktur distribusi yang tumpang tindih menyebabkan analisa sandbox yang dilakukan oleh seperti aplikasi solusi keamanan kebingungan.
