Een nieuwe malware, geïdentificeerd als Voldemort, richt zich op Google Sheets. Het doet zich ook voor als belastingdiensten uit de VS, Europa en Azië om meerdere aanvalsvectoren te openen en te exploiteren.
Voldemort-malware gericht op Google Sheets
Proofpoint heeft een nieuwe malwarecampagne geïdentificeerd en geobserveerd. De malware verspreidt een voorheen ongedocumenteerde backdoor genaamd “Voldemort”. Het is niet beperkt tot één specifieke regio en omvat twee fasen.
Volgens Piepende computerVoldemort is in essentie een C-gebaseerde backdoor. Het bevat meerdere commando’s en bestandsbeheeracties. De malware kan ook nieuwe payloads in het systeem introduceren en zelfs bestanden verwijderen. De primaire functie is echter data-exfiltratie.
Proofpoint-onderzoekers Tommy Madjar (@ffforward), Pim Trouerbach (@Myrtus0x0) en Selena Larson (@selenalarson) onderzoeken een vermoedelijke spionagecampagne die de Voldemort-achterdeur levert. https://t.co/pPLBk1YYpg foto.twitter.com/NCfXepvvqn
— Virusbulletin (@virusbtn) 30 augustus 2024
Het is verontrustend om op te merken dat de Voldemort-malware Google Sheets gebruikt als Command And Control Server (C2). Bovendien gebruikt deze malware de API van Google met een ingebedde client-ID, geheim en refresh-token om te communiceren met Google Sheets.
Deze technieken helpen de Voldemort-malware onder de radar te blijven. Met andere woorden, Voldemort’s netwerkcommunicatie lijkt legitiem, en daarom slagen beveiligingstools er niet in om het als verdacht te markeren.
Google Sheets is een van de meest gebruikte cloudservices. Dit betekent dat beveiligingsteams de service niet zomaar kunnen blokkeren om de verspreiding van de Voldemort-malware via Google Sheets tegen te gaan.
Malware die zich voordoet als belastingambtenaren om zich te verspreiden
Om zich te verspreiden, hebben dreigingsactoren hun toevlucht genomen tot ouderwetse phishing-e-mails. Aanvallers verzamelen naar verluidt de locatie van de organisatie van een doelwit op basis van openbare informatie en sturen vervolgens phishing-e-mails.
Deze e-mails doen zich voor als belastingautoriteiten uit het land van de organisatie. Er staat dat er bijgewerkte belastinginformatie is. De e-mail bevat links naar ‘relevante’ documenten. Het spreekt voor zich dat deze links lokaas zijn.
#bedreigingsrapport #HogeVolledigheid
De malware die niet bij naam genoemd mag worden: vermoedelijke spionagecampagne levert “Voldemort” op | 29-08-2024
Bron: https://t.co/MDgQBuCLn5
Belangrijkste details hieronder ↓ foto.twitter.com/DpKb57Ttdf— RST-wolk (@rst_cloud) 30 augustus 2024
Beveiligingsonderzoekers hebben waargenomen dat de links slachtoffers naar een landingspagina leiden die op InfinityFree wordt gehost. Als de malware herkent dat het op een Windows-computer staat, leidt het slachtoffers naar een TryCloudflare-tunneled URI (Windows Search Protocol).
Interactie met het bestand resulteert erin dat de slachtoffers een ZIP-bestand krijgen dat vermomd is als een PDF. Dit is een veelvoorkomende techniek bij phishingaanvallen, omdat bestanden die op externe servers worden gehost, eruitzien alsof ze op de lokale computer staan. Dit misleidt slachtoffers door te denken dat ze het bestand hebben gedownload en aan te nemen dat Microsoft Defender het zou hebben gescand.
Als de e-crimebende iets anders vindt
Als je van vreemde infectieketens, WebDAV, Python, aangepaste backdoors met nieuwe C2-methoden en het gebruik van Dumpulator, PCAP’s en meer houdt, dan is de bende @selenalarson @Myrtus0x0 @ffforward Ik heb je gedekt! https://t.co/IFvoNEVUmH foto.twitter.com/x5TMPkde59
— Greg Lesnewich (@greglesnewich) 29 augustus 2024
Terwijl het slachtoffer met het bestand communiceert, wordt de Voldemort-malware op de achtergrond geïnstalleerd. Om het systeem te infecteren, gebruikt het een legitiem Cisco WebEx-uitvoerbaar bestand (CiscoCollabHost.exe) en een schadelijke DLL (CiscoSparkLauncher.dll).
Tot nu toe zijn Linux-pc’s en Mac OS-gebruikers immuun voor de malware-aanval. Proofpoint raadt echter aan om de toegang tot externe bestandsdelingsservices te beperken. Systeem- en netwerkbeheerders kunnen verbindingen met TryCloudflare blokkeren en verdachte PowerShell-scripts controleren die worden uitgevoerd op kantoorcomputers met Windows OS.