Malware di Voldemort
I ricercatori di sicurezza informatica hanno identificato una nuova campagna malware che utilizza Google Fogli come piattaforma di comando e controllo (C2).
Rilevata dai ricercatori nell'agosto 2024, la campagna di attacchi si maschera da autorità fiscali di Europa, Asia e Stati Uniti per colpire più di 70 organizzazioni in tutto il mondo. Gli aggressori utilizzano uno strumento personalizzato chiamato Voldemort, progettato per raccogliere informazioni e distribuire malware aggiuntivo.
I settori presi di mira includono assicurazioni, aerospaziale, trasporti, mondo accademico, finanza, tecnologia, industria, sanità, automotive, ospitalità, energia, governo, media, produzione, telecomunicazioni e organizzazioni di assistenza sociale. Sebbene la campagna di cyber spionaggio non sia stata collegata a un attore specifico della minaccia, si stima che siano state inviate fino a 20.000 e-mail in questi attacchi.
Sommario
Vettore di compromissione iniziale sfruttato dagli aggressori
Le email scoperte sembrano provenire dalle autorità fiscali di Stati Uniti, Regno Unito, Francia, Germania, Italia, India e Giappone, e informano i destinatari degli aggiornamenti delle loro dichiarazioni dei redditi e li invitano a cliccare sugli URL della cache AMP di Google che li indirizzano a una landing page intermedia.
Questa pagina controlla la stringa User-Agent per determinare se il sistema operativo dell'utente è Windows. In tal caso, la pagina utilizza il gestore del protocollo search-ms: URI per presentare un file di collegamento di Windows (LNK) camuffato da PDF tramite Adobe Acrobat Reader nel tentativo di ingannare la vittima e indurla ad aprirlo.
Se il file LNK viene eseguito, PowerShell avvia l'esecuzione di Python.exe da una condivisione WebDAV (\library), passando come argomento uno script Python che si trova su un'altra condivisione (\resource) sullo stesso server.
Come il malware Voldemort viene distribuito sui sistemi compromessi
Questo metodo consente a Python di eseguire lo script senza salvare alcun file sul computer, caricando le dipendenze direttamente dalla condivisione WebDAV.
Lo script Python è programmato per raccogliere informazioni di sistema e trasmetterle come stringa codificata in Base64 a un dominio controllato dagli aggressori. In seguito, mostra un PDF esca all'utente e scarica un file ZIP protetto da password da OpenDrive.
L'archivio ZIP contiene due file: un eseguibile legittimo, 'CiscoCollabHost.exe', che è vulnerabile al sideload DLL, e un file DLL dannoso, 'CiscoSparkLauncher.dll' (noto come Voldemort), che viene sottoposto a sideload dall'eseguibile.
Capacità della minaccia malware Voldemort
Voldemort è una backdoor personalizzata scritta in C dotata di funzionalità per la raccolta di informazioni e il caricamento di payload di fase successiva; il malware utilizza Fogli Google per C2, l'esfiltrazione dei dati e l'esecuzione di comandi dagli operatori.
I ricercatori hanno descritto l'attività come in linea con le Advanced Persistent Threats (APT), ma con tratti tipici della criminalità informatica a causa dell'uso di tecniche diffuse nel panorama della criminalità informatica.
Gli autori delle minacce abusano degli URI dello schema dei file per accedere a risorse esterne di condivisione file per lo staging del malware, in particolare WebDAV e Server Message Block (SMB). Ciò avviene utilizzando lo schema 'file://' e puntando a un server remoto che ospita il contenuto minaccioso.
Questo approccio è sempre più diffuso tra le famiglie di malware che agiscono come broker di accesso iniziale (IAB), come Latrodectus , DarkGate e XWor m.
L'obiettivo dell'attaccante rimane sconosciuto
La campagna dannosa è stata ritenuta insolita, il che suggerisce che gli autori della minaccia potrebbero aver inizialmente preso di mira un'ampia gamma di potenziali vittime prima di restringere la loro attenzione a un gruppo selezionato. È anche possibile che gli aggressori, che sembrano possedere vari livelli di competenza tecnica, intendessero compromettere più organizzazioni.
Sebbene molti aspetti della campagna assomiglino alle tipiche attività dei criminali informatici, riteniamo che si tratti probabilmente di uno sforzo di spionaggio mirato a raggiungere obiettivi ancora sconosciuti. La combinazione di tattiche avanzate e intelligenti della campagna, combinata con alcune tecniche di base, complica la valutazione delle capacità dell'attore della minaccia e rende difficile determinare i suoi obiettivi finali con elevata sicurezza.
