Ένα νέο backdoor malware με το όνομα “Voldemort” στοχεύει οργανισμούς σε όλο τον κόσμο, με τους hackers να προσπαθούν να το διανείμουν υποδυόμενοι φορολογικές υπηρεσίες από τις ΗΠΑ, την Ευρώπη και την Ασία.
Σύμφωνα με μια αναφορά της Proofpoint, η καμπάνια διανομής του malware ξεκίνησε στις 5 Αυγούστου 2024 και έχει στείλει πάνω από 20.000 phishing email σε περισσότερους από 70 οργανισμούς.
Πάνω από το ήμισυ των στοχευόμενων οργανισμών βρίσκεται στους τομείς της ασφάλισης, της αεροδιαστημικής, των μεταφορών και της εκπαίδευσης. Προς το παρόν, δεν γνωρίζουμε ποιος βρίσκεται πίσω από τις επιθέσεις, αλλά πιστεύεται ότι στοχεύει στην κυβερνοκατασκοπεία.
Οι hackers μιμούνται φορολογικές υπηρεσίες
Η νέα έκθεση της Proofpoint λέει ότι οι εισβολείς στέλνουν phishing emails που μοιάζουν με αυτά νόμιμων φορολογικών υπηρεσιών, λαμβάνοντας υπόψη και την τοποθεσία του θύματος. Τα emails αναφέρουν ότι υπάρχουν νέα φορολογικά στοιχεία και περιλαμβάνουν συνδέσμους προς σχετικά έγγραφα.
Δείτε επίσης: Malware παρουσιάζεται ως Palo Alto GlobalProtect και μολύνει δίκτυα
Κάνοντας κλικ στον σύνδεσμο, οι παραλήπτες μεταφέρονται σε μια σελίδα που φιλοξενείται στο InfinityFree, και χρησιμοποιεί Google AMP Cache URLs για να ανακατευθύνει το θύμα σε μια σελίδα με το κουμπί “Κάντε κλικ για προβολή εγγράφου“.
Όταν το θύμα κάνει κλικ στο κουμπί, η σελίδα θα ελέγξει το User Agent του προγράμματος περιήγησης και, αν είναι για Windows, ανακατευθύνει τον στόχο σε ένα search-ms URI (Windows Search Protocol) που οδηγεί σε TryCloudflare-tunneled URI. Αν τα θύματα δεν χρησιμοποιούν Windows, ανακατευθύνονται σε μια κενή διεύθυνση URL του Google Drive που δεν περιέχει κακόβουλο περιεχόμενο.
Εάν το θύμα αλληλεπιδράσει με το αρχείο search-ms, ενεργοποιείται το Windows Explorer για να εμφανίσει ένα αρχείο LNK ή ZIP μεταμφιεσμένο σε PDF.
Η χρήση του search-ms: URI έχει γίνει δημοφιλής στις καμπάνιες phishing. Παρόλο που αυτό το αρχείο φιλοξενείται σε ένα εξωτερικό κοινόχρηστο στοιχείο WebDAV/SMB, φαίνεται σαν να βρίσκεται τοπικά στον φάκελο “Λήψεις“. Το θύμα είναι πιο εύκολο να παραπλανηθεί και να το ανοίξει. Με αυτόν τον τρόπο εκτελείται ένα Python script από άλλο WebDAV share, χωρίς να το κατεβάσει στον κεντρικό υπολογιστή. Αυτό εκτελεί συλλογή πληροφοριών συστήματος για το προφίλ του θύματος. Ταυτόχρονα, εμφανίζεται ένα decoy PDF για να κρύψει την κακόβουλη δραστηριότητα.
Το script κατεβάζει επίσης ένα νόμιμο εκτελέσιμο αρχείο Cisco WebEx (CiscoCollabHost.exe) και ένα κακόβουλο DLL (CiscoSparkLauncher.dll) για να φορτώσει το Voldemort malware.
Δείτε επίσης: Οι Ιρανοί hackers Pioneer Kitten συνεργάζονται με ransomware ομάδες
Κατάχρηση Google Sheets
Το Voldemort malware υποστηρίζει διάφορες εντολές συμπεριλαμβανομένης της εξαγωγής και της εισαγωγής νέων payloads στο σύστημα και της διαγραφής αρχείων.
Πιο αναλυτικά, οι εντολές που υποστηρίζει είναι:
Ping – Ελέγχει τη συνδεσιμότητα μεταξύ του κακόβουλου λογισμικού και του διακομιστή C2.
Dir – Ανακτά μια λίστα καταλόγου από το μολυσμένο σύστημα.
Download – Κατεβάζει αρχεία από το μολυσμένο σύστημα στον διακομιστή C2.
Upload – Μεταφορτώνει αρχεία από τον διακομιστή C2 στο μολυσμένο σύστημα.
Exec – Εκτελεί μια καθορισμένη εντολή ή πρόγραμμα στο μολυσμένο σύστημα.
Copy – Αντιγράφει αρχεία ή καταλόγους εντός του μολυσμένου συστήματος.
Move – Μετακινεί αρχεία ή καταλόγους εντός του μολυσμένου συστήματος.
Sleep – Θέτει το κακόβουλο λογισμικό σε κατάσταση αναστολής λειτουργίας
Exit – Τερματίζει τη λειτουργία του κακόβουλου λογισμικού στο μολυσμένο σύστημα.
Επιπλέον, το Voldemort malware χρησιμοποιεί τα Google Sheets ως command and control server (C2).
Κάθε μολυσμένο μηχάνημα γράφει τα δεδομένα του σε συγκεκριμένα κελιά μέσα στο Google Sheet.
Το Voldemort malware χρησιμοποιεί το API της Google με ενσωματωμένο client ID, secret και refresh token για να αλληλεπιδρά με το Google Sheets.
Αυτή η προσέγγιση παρέχει στο κακόβουλο λογισμικό ένα αξιόπιστο κανάλι C2 και μειώνει την πιθανότητα επισήμανσης της επικοινωνίας δικτύου από εργαλεία ασφαλείας.
Δείτε επίσης: sedexp: Ένα Linux malware που έμεινε κρυφό για δύο χρόνια
Για να προστατευτούν από αυτές τις επιθέσεις, οι επιχειρήσεις καλούνται να περιορίσουν την πρόσβαση εξωτερικών υπηρεσιών κοινής χρήσης αρχείων σε αξιόπιστους διακομιστές, να αποκλείσουν συνδέσεις στο TryCloudflare και να παρακολουθούν για ύποπτη εκτέλεση PowerShell.
Γενικές συμβουλές προστασίας από backdoor
Οι οργανισμοί μπορούν να προστατεύσουν τα δίκτυά τους από το Voldemort backdoor, εφαρμόζοντας διάφορες στρατηγικές ασφάλειας. Καταρχάς, είναι σημαντικό να διατηρούν τα συστήματά τους ενημερωμένα. Αυτό σημαίνει ότι θα πρέπει να εγκαθιστούν τακτικά τις τελευταίες ενημερώσεις και διορθώσεις ασφαλείας σε όλα τα λειτουργικά συστήματα και τις εφαρμογές.
Επιπλέον, οι οργανισμοί πρέπει να χρησιμοποιούν λύσεις ασφάλειας που περιλαμβάνουν την ανίχνευση εισβολών και την προστασία από κακόβουλο λογισμικό. Αυτές οι λύσεις μπορούν να βοηθήσουν στην ανίχνευση και την αποτροπή των επιθέσεων.
Η εκπαίδευση του προσωπικού είναι επίσης κρίσιμη για την αποφυγή του Voldemort backdoor malware. Οι εργαζόμενοι πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με την κυβερνοασφάλεια και τις τακτικές που χρησιμοποιούν οι επιτιθέμενοι, όπως το phishing.
Τέλος, πρέπει να εφαρμόζεται η αρχή της ελάχιστης πρόσβασης. Αυτό σημαίνει ότι οι χρήστες και οι συσκευές πρέπει να έχουν μόνο τις απαραίτητες άδειες πρόσβασης που χρειάζονται για την εκτέλεση των καθηκόντων τους.
Πηγή: www.bleepingcomputer.com
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/615623/voldemort-malware-kataxrisi-google-sheets/&media=https://cdnglobal.secnews.gr/wp-content/uploads/2024/09/16114108/Voldemort-malware-Google-Sheets.png&description=Ένα νέο backdoor malware με το όνομα "Voldemort" στοχεύει οργανισμούς σε όλο τον κόσμο, με τους hackers να υποδύονται φορολογικές υπηρεσίες){kind=link}