Un nuevo análisis técnico revela que el malware Valak ha sufrido algunas mejoras y ahora llega con un nuevo complemento que le permite a los hackers robar las  credenciales del correo electrónico de Microsoft, Outlook.

Valak es un malware que surgió a mediados de octubre del año pasado, este se presentó con una arquitectura de complemento modular que amplía cada vez más sus capacidades para cubrir las “necesidades” de los hackers.

Valak se renueva y permite obtener las credenciales de Outlook

De acuerdo con la fuente, este malware de múltiples etapas basado en scripts se encarga de obtener las respuestas del correo electrónico e incrustar URL’s o archivos adjuntos para infectar los dispositivos de los usuarios con scripts maliciosos.

Cortesía de: labs.sentinelone

Ahora un nuevo análisis técnico publicado el dìa de hoy por los investigadores de la compañía de seguridad cibernética, SentinelOne proporciona detalles sobre un nuevo complemento de Valak llamado “clientgrabber”, que le permite a los hackers obtener las credenciales de acceso del registro de una máquina comprometida.

¿Cómo funciona?

SentinelOne señala que mientras investigaban el malware Valak, encontraron que el complemento “clientgrabber” busca las contraseñas en ubicaciones de registro relacionadas con el cliente Outlook de Microsoft.

Outlook Spaces está disponible para todos los usuarios de Microsoft

Una vez allì, el complemento busca todas las ‘claves’ de acceso y determina el método implementado en el cifrado de estos datos, para saber a fondo si este valor contiene datos que puedan ser decifrados.

Adicionalmente, los analistas mencionan que todos los datos de la cuenta de correo electrónico como nombre de usuario y servidor se almacenan en texto sin formato, mientras que la contraseña si se encuentra encriptada.

¿Valak proviene del malware Gozi?

Aunque muchas investigaciones han mencionado que quizás el origen de Valak esté estrechamente relacionado con el malware de origen ruso, Gozi, los investigadores señalan que esto no es el del todo cierto pues, aunque presentan varias similitudes, Valak se muestra como un nuevo malware que se vale de los ataques de cadenas de correo electrónico en sus campañas de spam para este ‘Ataque de cadena de respuesta’.

Más en TekCrispy