Seit dem Ende des letzten Jahres beobachten wir eine Welle an Phishing-Mails, die den Downloader Valyria enthalten. Valyria ist ein Office-Dokument, in dem ein VBA Makro enthalten ist, das verschiedene Arten von Spyware nachlädt.

 

Zunächst wird das Opfer durch Phishing-Attacken dazu animiert, die Makrofunktion von Microsoft Office zu aktivieren. Dabei nutzten die Angreifer die in den folgenden Screenshots abgebildeten Methoden.

 

 

Wird das Makro ausgeführt, lädt es eine Visual Basic, Delphi, oder C# Spyware nach, die im Anschluss damit beginnt, Informationen auf dem System zu sammeln und an ihren Command-and-Control-Server zu verschicken.

 

Während der Valyria-Downloader sehr genau zu identifizieren ist, gestaltet sich die klare Identifikation der nachgeladenen Malware als wesentlich schwieriger. Dies liegt wahrscheinlich an einer hohen Konfigurierbarkeit der Tools, die die Cyberkriminellen verwendet haben. Signaturen schlugen auf verschiedene Varianten der Spyware Agent Tesla, LokiBot und Kryptik, sowie des Androm Backdoors an. Die Verhaltensanalyse der nachgeladenen Schadprogramme zeigt, dass sie alle eines gemeinsam haben: Sie sammeln fleißig Informationen wie Passwörter, Informationen aus Browsern, Credentials und Verbindungsdaten von FTP- und E-Mail-Clients, Instant-Messenger-Nachrichten, allgemeine Tastatureingaben sowie Screenshots auf dem System des Opfers.

 

Die Verhaltensanalyse der ATP-Sandbox erkennt Valyria und das Verhalten der nachgeladenen Spyware von Beginn der Kampagne zuverlässig. Aufgrund der Menge der aufgetretenen E-Mails dieser Art haben wir weitere Filterregeln entwickelt, die unsere Kunden vor den verschiedenen Varianten der Malware schützen.

 

Hier ein Auszug aus dem ATP-Report von einer der Spyware-Samples:

 

Hornetsecurity ATP-Report zu Valyria