# Valak > [!danger] Resumo > Malware modular multi-estagio observado pela primeira vez em outubro de 2019, distribuido pelo [[g0127-ta551|TA551]] (Shathak) via campanhas de malspam em larga escala. Evoluiu de simples loader para infostealer sofisticado com módulo específico para roubo de credenciais do Microsoft Exchange e certificados de dominio empresarial - ameaça critica para ambientes corporativos com Exchange on-premises. ## Visão Geral O [[s0476-valak|Valak]] e um malware modular multi-estagio que pode funcionar como information stealer autonomo ou downloader, observado pela primeira vez em outubro de 2019. Em menos de 6 meses, os desenvolvedores lancaram mais de 30 versoes, demonstrando ciclo de desenvolvimento acelerado. O [[g0127-ta551|TA551]] (também conhecido como Shathak) distribuiu o Valak como payload primario entre abril e julho de 2020 antes de transicionar exclusivamente para o [[s0483-icedid|IcedID]]. A arquitetura modular do [[s0476-valak|Valak]] e notavelmente sofisticada: o componente "PluginHost" gerencia a comunicação com C2 e faz download de módulos adicionais chamados "ManagedPlugin.dll". Os módulos documentados incluem: - **Exchgrabber**: Roubo de credenciais do Microsoft Exchange, incluindo senha de dominio e certificado de dominio empresarial - **Systeminfo**: Coleta de informações sobre o ambiente, identificação de administradores de dominio - **IPGeo**: Verificação de geolocalização da maquina infectada - **Screencap**: Captura de screenshots - **Clientgrabber**: Roubo de credenciais de e-mail do registro do Windows (Outlook) - **Netrecon**: Reconhecimento de rede interna O [[s0476-valak|Valak]] esconde seus componentes e dados de C2 na chave de registro `HKCU\Software\ApplicationContainer\Appsw64`, usa Alternaté Data Streams (ADS) do NTFS para armazenar payloads de segunda fase, e executa via Regsvr32 (LOLBAS) para evasão. A Cybereason identificou ligacao com o ecossistema Gozi russo, e o malware foi frequentemente entregue junto com o [[s0386-ursnif|Ursnif]] (variante do Gozi). **Plataformas:** Windows ## Como Funciona 1. **Entrega**: E-mail malspam do [[g0127-ta551|TA551]] com ZIP protegido por senha contendo documento Word com macros 2. **Execução inicial**: Macro aciona `regsvr32.exe` para carregar DLL Valak, quebrando a cadeia de processo parent-child de `winword.exe` 3. **Persistência**: Scheduled task executa JavaScript armazenado como ADS (Alternaté Data Stream) 4. **Comúnicação C2**: HTTP com múltiplos canais de fallback; dados de C2 armazenados no registro 5. **Segunda fase**: Download de módulos ManagedPlugin do C2; Exchgrabber extrai credenciais Exchange 6. **Exfiltração**: Dados comprimidos em Base64 e enviados via HTTP POST para C2 ## Attack Flow - Valak ```mermaid graph TB A["Malspam TA551<br/>ZIP protegido por senha<br/>com documento Word"] --> B["Execução de Macro<br/>winword.exe inicia<br/>regsvr32.exe (LOLBAS)"] B --> C["Carga DLL Valak<br/>Dados C2 e configuração<br/>armazenados no registro"] C --> D["Persistência via ADS<br/>JavaScript em Alternaté<br/>Data Stream do NTFS"] D --> E["Download de Módulos<br/>ManagedPlugin: Exchgrabber,<br/>Systeminfo, Screencap"] E --> F["Roubo Exchange<br/>Credenciais de dominio<br/>e certificado empresarial"] F --> G["Exfiltração<br/>Dados Base64 via<br/>HTTP POST para C2"] ``` ## Timeline de Atividade ```mermaid timeline title Valak - Historico 2019-10 : Primeiro avistamento (modo teste) 2020-04 : TA551 adota Valak como payload primario 2020-05 : Cybereason publica análise completa - 30+ versoes 2020-05 : BleepingComputer reporta módulo Exchgrabber 2020-06 : SentinelOne descobre plugin clientgrabber 2020-07 : TA551 transiciona de Valak para IcedID exclusivamente 2020-07 : Palo Alto Unit 42 documenta evolução completa ``` ## TTPs - Valak | Tática | Técnica | Descrição | |--------|---------|-----------| | Acesso Inicial | [[t1204-002-malicious-file\|T1204.002]] | Documento Word com macros via malspam | | Evasão | [[t1564-004-ntfs-file-attributes\|T1564.004]] | ADS para ocultar payloads | | Evasão | [[t1218-010-regsvr32\|T1218.010]] | Regsvr32 para carregar DLL maliciosa | | Persistência | Scheduled Task | JavaScript via wscript.exe | | Persistência | [[t1112-modify-registry\|T1112]] | C2 e configuração no registro | | Credenciais | [[t1555-004-windows-credential-manager\|T1555.004]] | Windows Credential Manager | | Credenciais | [[t1114-002-remote-email-collection\|T1114.002]] | Exchange Server via Exchgrabber | | C2 | [[t1104-multi-stage-channels\|T1104]] | Módulos baixados do C2 em estagios | | C2 | [[t1008-fallback-channels\|T1008]] | Mais de 50 servidores C2 documentados | ## Relevância LATAM/Brasil O [[s0476-valak|Valak]] e o [[g0127-ta551|TA551]] representam o modelo de malspam corporativo de alto volume que atinge empresas no Brasil. Organizacoes que utilizam Microsoft Exchange localmente (on-premises) sao particularmente vulneraveis ao módulo Exchgrabber, que rouba credenciais de dominio e certificados empresariais - o equivalente a entregar as chaves do reino ao atacante. O Brasil possui alta base de Exchange on-premises em empresas de medio e grande porte, com atualizacoes frequentemente atrasadas. Campanhas do [[g0127-ta551|TA551]] com iscas em diferentes idiomas (documentado em alemao, italiano, jápones) demonstram capacidade de localização que pode facilmente incluir portugues brasileiro. ## Detecção > [!tip] Indicadores de Detecção > - Monitorar execução de `regsvr32.exe` como processo filho de `winword.exe` ou `excel.exe` > - Alertar sobre `wscript.exe` executando JavaScript armazenado como Alternaté Data Stream > - Detectar acesso ao Windows Credential Manager por processos nao relacionados ao sistema > - Monitorar criação de chave `HKCU\Software\ApplicationContainer\Appsw64` - indicador específico do Valak > - Analisar trafego HTTP POST com payload Base64 para dominios nao categorizados ## Referências - [1](https://attack.mitre.org/software/S0476/) MITRE ATT&CK - Valak S0476 (2024) - [2](https://www.cybereason.com/blog/research/valak-more-than-meets-the-eye) Cybereason - Valak: More than Meets the Eye (2020) - [3](https://www.bleepingcomputer.com/news/security/valak-malware-steals-credentials-from-microsoft-exchange-servers/) BleepingComputer - Valak Steals Credentials from Exchange (2020) - [4](https://unit42.paloaltonetworks.com/valak-evolution/) Unit 42 - Evolution of Valak (2020) - [5](https://redcanary.com/threat-detection-report/threats/ta551/) Red Canary - TA551 Threat Detection Report (2021) - [6](https://www.bleepingcomputer.com/news/security/valak-malware-gets-new-plugin-to-steal-outlook-login-credentials/) BleepingComputer - Valak: New Plugin para Credenciais Outlook (2020)