Voldemort-malware richt zich op Google Sheets en doet zich voor als belastingdienst

Een nieuwe malware, geïdentificeerd als Voldemort, richt zich op Google Sheets. Het doet zich ook voor als belastingdiensten uit de VS, Europa en Azië om meerdere aanvalsvectoren te openen en te exploiteren.

Voldemort-malware gericht op Google Sheets

Proofpoint heeft een nieuwe malwarecampagne geïdentificeerd en geobserveerd. De malware verspreidt een voorheen ongedocumenteerde backdoor genaamd “Voldemort”. Het is niet beperkt tot één specifieke regio en omvat twee fasen.

Volgens Piepende computerVoldemort is in essentie een C-gebaseerde backdoor. Het bevat meerdere commando’s en bestandsbeheeracties. De malware kan ook nieuwe payloads in het systeem introduceren en zelfs bestanden verwijderen. De primaire functie is echter data-exfiltratie.

Het is verontrustend om op te merken dat de Voldemort-malware Google Sheets gebruikt als Command And Control Server (C2). Bovendien gebruikt deze malware de API van Google met een ingebedde client-ID, geheim en refresh-token om te communiceren met Google Sheets.

Deze technieken helpen de Voldemort-malware onder de radar te blijven. Met andere woorden, Voldemort’s netwerkcommunicatie lijkt legitiem, en daarom slagen beveiligingstools er niet in om het als verdacht te markeren.

Google Sheets is een van de meest gebruikte cloudservices. Dit betekent dat beveiligingsteams de service niet zomaar kunnen blokkeren om de verspreiding van de Voldemort-malware via Google Sheets tegen te gaan.

Malware die zich voordoet als belastingambtenaren om zich te verspreiden

Om zich te verspreiden, hebben dreigingsactoren hun toevlucht genomen tot ouderwetse phishing-e-mails. Aanvallers verzamelen naar verluidt de locatie van de organisatie van een doelwit op basis van openbare informatie en sturen vervolgens phishing-e-mails.

Deze e-mails doen zich voor als belastingautoriteiten uit het land van de organisatie. Er staat dat er bijgewerkte belastinginformatie is. De e-mail bevat links naar ‘relevante’ documenten. Het spreekt voor zich dat deze links lokaas zijn.

Beveiligingsonderzoekers hebben waargenomen dat de links slachtoffers naar een landingspagina leiden die op InfinityFree wordt gehost. Als de malware herkent dat het op een Windows-computer staat, leidt het slachtoffers naar een TryCloudflare-tunneled URI (Windows Search Protocol).

Interactie met het bestand resulteert erin dat de slachtoffers een ZIP-bestand krijgen dat vermomd is als een PDF. Dit is een veelvoorkomende techniek bij phishingaanvallen, omdat bestanden die op externe servers worden gehost, eruitzien alsof ze op de lokale computer staan. Dit misleidt slachtoffers door te denken dat ze het bestand hebben gedownload en aan te nemen dat Microsoft Defender het zou hebben gescand.

Terwijl het slachtoffer met het bestand communiceert, wordt de Voldemort-malware op de achtergrond geïnstalleerd. Om het systeem te infecteren, gebruikt het een legitiem Cisco WebEx-uitvoerbaar bestand (CiscoCollabHost.exe) en een schadelijke DLL (CiscoSparkLauncher.dll).

Tot nu toe zijn Linux-pc’s en Mac OS-gebruikers immuun voor de malware-aanval. Proofpoint raadt echter aan om de toegang tot externe bestandsdelingsservices te beperken. Systeem- en netwerkbeheerders kunnen verbindingen met TryCloudflare blokkeren en verdachte PowerShell-scripts controleren die worden uitgevoerd op kantoorcomputers met Windows OS.

Thijs Van der Does