Voldemort Malware
Os pesquisadores de segurança cibernética identificaram uma nova campanha de malware que usa o Planilhas Google como uma plataforma de comando e controle (C2).
Detectada pelos pesquisadores em agosto de 2024, a campanha de ataque se disfarça como autoridades fiscais da Europa, Ásia e EUA para atingir mais de 70 organizações em todo o mundo. Os invasores usam uma ferramenta personalizada chamada Voldemort, projetada para coletar informações e implantar malware adicional.
Os setores visados incluem seguros, aeroespacial, transporte, academia, finanças, tecnologia, indústria, saúde, automotivo, hospitalidade, energia, governo, mídia, manufatura, telecomunicações e organizações de benefícios sociais. Embora a campanha de espionagem cibernética não tenha sido vinculada a um ator de ameaça específico, estima-se que até 20.000 e-mails tenham sido enviados nesses ataques.
Índice
Vetor de Comprometimento Inicial Explorado pelos Invasores
Os e-mails descobertos supostamente são de autoridades fiscais dos EUA, Reino Unido, França, Alemanha, Itália, Índia e Japão, informando os destinatários sobre atualizações em suas declarações fiscais e solicitando que eles cliquem em URLs do Google AMP Cache que os direcionam para uma página de destino intermediária.
Esta página verifica a string User-Agent para determinar se o sistema operacional do usuário é Windows. Se for, a página usa o manipulador de protocolo search-ms: URI para apresentar um arquivo de atalho do Windows (LNK) disfarçado como um PDF usando o Adobe Acrobat Reader em uma tentativa de enganar a vítima para abri-lo.
Se o arquivo LNK for executado, ele acionará o PowerShell para executar Python.exe de um compartilhamento WebDAV (\library), passando um script Python localizado em outro compartilhamento (\resource) no mesmo servidor como um argumento.
Como o Voldemort Malware é Implantado no Sistemas Comprometidos
Este método permite que o Python execute o script sem salvar nenhum arquivo no computador, com as dependências sendo carregadas diretamente do compartilhamento WebDAV.
O script Python é programado para coletar informações do sistema e transmiti-las como uma string codificada em Base64 para um domínio controlado pelos invasores. Depois, ele exibe um PDF falso para o usuário e baixa um arquivo ZIP protegido por senha do OpenDrive.
O arquivo ZIP contém dois arquivos: um executável legítimo, 'CiscoCollabHost.exe', que é vulnerável ao carregamento lateral de DLL, e um arquivo DLL malicioso, 'CiscoSparkLauncher.dll' (conhecido como Voldemort), que é carregado lateralmente pelo executável.
Capacidades da Ameaça do Voldemort Malware
O Voldemort é um backdoor personalizado escrito em C que vem com recursos para coleta de informações e carregamento de cargas úteis de próximo estágio, com o malware utilizando o Planilhas Google para C2, exfiltração de dados e execução de comandos dos operadores.
Os pesquisadores descreveram a atividade como alinhada às Ameaças Persistentes Avançadas (APT), mas com características de crime cibernético devido ao uso de técnicas populares no cenário do crime eletrônico.
Os agentes de ameaças abusam de URIs de esquema de arquivo para acessar recursos externos de compartilhamento de arquivos para preparação de malware, especificamente WebDAV e Server Message Block (SMB). Isso é feito usando o esquema 'file://' e apontando para um servidor remoto que hospeda o conteúdo ameaçador.
Essa abordagem tem sido cada vez mais prevalente entre famílias de malware que atuam como corretores de acesso inicial (IABs), como Latrodectus , DarkGate e XWorm.
O Objetivo do Atacante Permanece Desconhecido
A campanha prejudicial foi considerada incomum, sugerindo que os agentes da ameaça podem ter inicialmente visado uma ampla gama de vítimas em potencial antes de estreitar seu foco para um grupo seleto. Também é possível que os invasores, que parecem possuir vários níveis de conhecimento técnico, tenham pretendido comprometer várias organizações.
Embora muitos aspectos da campanha se assemelhem a atividades típicas de cibercriminosos, acreditamos que é provável que seja um esforço de espionagem visando atingir objetivos ainda desconhecidos. A mistura de táticas avançadas e inteligentes da campanha, combinada com algumas técnicas básicas, complica a avaliação das capacidades do agente da ameaça e torna desafiador determinar seus objetivos finais com alta confiança.
