Cyberthreat.id - Malware Valak berevolusi menjadi pencuri informasi (infostealer) dalam enam bulan terakhir. Varian terbaru dari malware ini diketahui menargetkan server Microsoft Exchange untuk mencuri data perusahaan dan individu.

Microsoft Exchange adalah layanan yang menyediakan akun email dengan dukungan Microsoft Exchange Server. Sementara Microsoft Exchange Server merupakan sebuah produk perangkat lunak pengatur pesan dan kolaborasi yang dikembangkan oleh Microsoft Corporation dan banyak digunakan oleh perusahaan-perusahaan di dunia.

Peneliti cybersecurity dari Cybereason Nocturnus mengatakan Valak pertama kali ditemukan pada 2019 dan aktif menyerang entitas yang ada di Amerika Serikat (AS) dan Jerman sejak akhir tahun lalu.

Varian terbaru dari malware Valak berhasil dilacak dalam serangan terhadap server Microsoft Exchange terbaru. Serangan berfokus pada individual hingga perusahaan (enterprise) yang bertujuan mengekstrak data sensitif. Hacker ingin mengakses pengguna domain di dalam (inside domain user) untuk layanan email internal perusahaan bersama dengan akses ke sertifikat domain perusahaan.

"Dengan Systeminfo, hacker dapat mengidentifikasi pengguna yang merupakan administrator domain. Ini menciptakan kombinasi yang sangat berbahaya dari kebocoran data sensitif dan berpotensi melakukan mata-mata atau serangan cyber skala besar." ungkap peneliti Cybereason dilansir ZD Net, Kamis (28 Mei 2020).

Hacker juga meninggalkan program PowerShell open-source untuk mengunduh kode mereka di komputer korban. Ini dilakukan sebagai sebuah tanda dan cara untuk meningkatkan teknik penghindaran (evasive).

Sebelumnya, Valak diklasifikasikan peneliti cybersecurity sebagai pemuat malware yang canggih. Selama enam bulan terakhir malware ini mengalami perubahan dengan lebih 20 versi, dari yang sebelumnya hanya pemuat malware yang digabungkan bersama dengan Ursnif dan muatan Trojan perbankan IcedID.

Saat ini, malware Valak bisa digunakan untuk mengambil data dari jaringan perusahaan. Selain Cybereason, seorang analis independen mengungkapkan jika operasi Valak juga digunakan untuk menyebarkan malware pencuri data-keuangan.

Hingga kini sekitar 150 organisasi di sektor keuangan, ritel, manufaktur, dan perawatan kesehatan telah ditargetkan oleh malware Valak. Dua pertiga dari serangan Valak dikirim dengan potongan malware lainnya.

Kepala peneliti Cybereason, Assaf Dahan, mengatakan setiap infeksi dari malware Valak harus diselidiki dengan benar untuk mencari indikator malware pada bagian yang terinfeksi.

"Kemampuan malware yang diperluas menunjukkan bahwa Valak dapat digunakan secara mandiri dengan atau tanpa bekerja sama dengan malware lain, tapi masih harus diteliti dengan benar," ungkap Dahan.[]

Redaktur: Arif Rahman