వోల్డ్‌మార్ట్ మాల్వేర్

సైబర్‌ సెక్యూరిటీ పరిశోధకులు Google షీట్‌లను కమాండ్-అండ్-కంట్రోల్ (C2) ప్లాట్‌ఫారమ్‌గా ఉపయోగించే కొత్త మాల్వేర్ ప్రచారాన్ని గుర్తించారు.

ఆగష్టు 2024లో పరిశోధకులచే కనుగొనబడిన దాడి ప్రచారం, ప్రపంచవ్యాప్తంగా 70 కంటే ఎక్కువ సంస్థలను లక్ష్యంగా చేసుకునేందుకు యూరప్, ఆసియా మరియు US నుండి పన్ను అధికారులుగా ముసుగు వేసింది. దాడి చేసేవారు సమాచారాన్ని సేకరించడానికి మరియు అదనపు మాల్వేర్‌ని అమలు చేయడానికి రూపొందించబడిన వోల్‌డెమోర్ట్ అనే అనుకూల సాధనాన్ని ఉపయోగిస్తారు.

లక్షిత రంగాలలో బీమా, ఏరోస్పేస్, రవాణా, అకాడెమియా, ఫైనాన్స్, టెక్నాలజీ, ఇండస్ట్రియల్, హెల్త్‌కేర్, ఆటోమోటివ్, హాస్పిటాలిటీ, ఎనర్జీ, ప్రభుత్వం, మీడియా, మ్యానుఫ్యాక్చరింగ్, టెలికాం మరియు సామాజిక ప్రయోజన సంస్థలు ఉన్నాయి. సైబర్ గూఢచర్యం ప్రచారం నిర్దిష్ట బెదిరింపు నటుడితో లింక్ చేయబడనప్పటికీ, ఈ దాడులలో 20,000 ఇమెయిల్‌లు పంపబడినట్లు అంచనా వేయబడింది.

ప్రారంభ రాజీ వెక్టర్ దాడి చేసేవారిచే దోపిడీ చేయబడింది

కనుగొనబడిన ఇమెయిల్‌లు US, UK, ఫ్రాన్స్, జర్మనీ, ఇటలీ, భారతదేశం మరియు జపాన్‌లోని పన్ను అధికారుల నుండి వచ్చినవిగా భావిస్తున్నాయి, గ్రహీతలకు వారి పన్ను ఫైలింగ్‌లకు సంబంధించిన అప్‌డేట్‌లను తెలియజేస్తాయి మరియు వారిని మధ్యవర్తికి మళ్లించే Google AMP కాష్ URLలపై క్లిక్ చేయమని వారిని ప్రేరేపిస్తుంది. ల్యాండింగ్ పేజీ.

ఈ పేజీ వినియోగదారు యొక్క ఆపరేటింగ్ సిస్టమ్ Windows కాదా అని నిర్ధారించడానికి వినియోగదారు-ఏజెంట్ స్ట్రింగ్‌ను తనిఖీ చేస్తుంది. అలా అయితే, పేజీ శోధన-msను ఉపయోగిస్తుంది: URI ప్రోటోకాల్ హ్యాండ్లర్ విండోస్ షార్ట్‌కట్ (LNK) ఫైల్‌ను PDF వలె మారువేషంలో ఉంచి, Adobe Acrobat Readerని ఉపయోగించి బాధితుడిని మోసగించే ప్రయత్నం చేస్తుంది.

LNK ఫైల్ అమలు చేయబడితే, అది ఒక WebDAV షేర్ (\ లైబ్రరీ) నుండి Python.exeని అమలు చేయడానికి PowerShellని ప్రేరేపిస్తుంది, అదే సర్వర్‌లోని మరొక షేర్ (\ వనరు)లో ఉన్న పైథాన్ స్క్రిప్ట్‌ను ఆర్గ్యుమెంట్‌గా పంపుతుంది.

వోల్డ్‌మార్ట్ మాల్వేర్ కాంప్రమైజ్డ్ సిస్టమ్స్‌లో ఎలా డిప్లాయ్ చేయబడింది

ఈ పద్ధతి వెబ్‌డిఎవి షేర్ నుండి నేరుగా లోడ్ చేయబడే డిపెండెన్సీలతో కంప్యూటర్‌కు ఎటువంటి ఫైల్‌లను సేవ్ చేయకుండా స్క్రిప్ట్‌ను అమలు చేయడానికి పైథాన్‌ని అనుమతిస్తుంది.

పైథాన్ స్క్రిప్ట్ సిస్టమ్ సమాచారాన్ని సేకరించి, దాడి చేసే వారిచే నియంత్రించబడే డొమైన్‌కు Base64-ఎన్‌కోడ్ చేసిన స్ట్రింగ్‌గా ప్రసారం చేయడానికి ప్రోగ్రామ్ చేయబడింది. తరువాత, ఇది వినియోగదారుకు ఒక డికోయ్ PDFని ప్రదర్శిస్తుంది మరియు OpenDrive నుండి పాస్‌వర్డ్-రక్షిత జిప్ ఫైల్‌ను డౌన్‌లోడ్ చేస్తుంది.

జిప్ ఆర్కైవ్‌లో రెండు ఫైల్‌లు ఉన్నాయి: చట్టబద్ధమైన ఎక్జిక్యూటబుల్, 'CiscoCollabHost.exe,' ఇది DLL సైడ్‌లోడింగ్‌కు హాని కలిగిస్తుంది మరియు హానికరమైన DLL ఫైల్, 'CiscoSparkLauncher.dll' (Voldemort అని పిలుస్తారు), ఇది ఎక్జిక్యూటబుల్ ద్వారా సైడ్‌లోడ్ చేయబడుతుంది.

వోల్డ్‌మార్ట్ మాల్వేర్ థ్రెట్ యొక్క సామర్థ్యాలు

వోల్డ్‌మార్ట్ అనేది Cలో వ్రాయబడిన అనుకూల బ్యాక్‌డోర్, ఇది సమాచార సేకరణ మరియు తదుపరి-దశ పేలోడ్‌లను లోడ్ చేయడం కోసం సామర్థ్యాలతో వస్తుంది, మాల్వేర్ C2 కోసం Google షీట్‌లను ఉపయోగించడం, డేటా ఎక్స్‌ఫిల్ట్రేషన్ మరియు ఆపరేటర్‌ల నుండి ఆదేశాలను అమలు చేయడం.

పరిశోధకులు ఈ కార్యాచరణను అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్స్ (APT)కి సమలేఖనం చేసినట్లు వివరించారు, అయితే ఇ-క్రైమ్ ల్యాండ్‌స్కేప్‌లో జనాదరణ పొందిన సాంకేతికతలను ఉపయోగించడం వల్ల సైబర్‌క్రైమ్ లక్షణాలను కలిగి ఉంది.

మాల్వేర్ స్టేజింగ్, ప్రత్యేకంగా WebDAV మరియు సర్వర్ మెసేజ్ బ్లాక్ (SMB) కోసం బాహ్య ఫైల్ షేరింగ్ వనరులను యాక్సెస్ చేయడానికి ముప్పు నటులు ఫైల్ స్కీమా URIలను దుర్వినియోగం చేస్తారు. ఇది స్కీమా 'ఫైల్://'ని ఉపయోగించడం ద్వారా మరియు బెదిరింపు కంటెంట్‌ను హోస్ట్ చేస్తున్న రిమోట్ సర్వర్‌ని సూచించడం ద్వారా జరుగుతుంది.

Latrodectus , DarkGate మరియు XWor m వంటి ప్రారంభ యాక్సెస్ బ్రోకర్లు (IABలు) వలె పనిచేసే మాల్వేర్ కుటుంబాలలో ఈ విధానం ఎక్కువగా ప్రబలంగా ఉంది.

అటాకర్ యొక్క లక్ష్యం తెలియలేదు

హానికరమైన ప్రచారం అసాధారణమైనదిగా పరిగణించబడింది, బెదిరింపు నటులు తమ దృష్టిని ఎంపిక చేసిన సమూహంపైకి తగ్గించడానికి ముందు సంభావ్య బాధితుల విస్తృత శ్రేణిని లక్ష్యంగా చేసుకుని ఉండవచ్చని సూచిస్తున్నారు. సాంకేతిక నైపుణ్యం యొక్క వివిధ స్థాయిలను కలిగి ఉన్నట్లు కనిపించే దాడి చేసేవారు బహుళ సంస్థలతో రాజీ పడేందుకు ఉద్దేశించినట్లు కూడా ఉండవచ్చు.

ప్రచారంలోని అనేక అంశాలు విలక్షణమైన సైబర్ నేర కార్యకలాపాలను పోలి ఉన్నప్పటికీ, ఇది ఇంకా తెలియని లక్ష్యాలను సాధించడానికి ఉద్దేశించిన గూఢచర్య ప్రయత్నమని మేము విశ్వసిస్తున్నాము. ప్రచారం యొక్క అధునాతన మరియు తెలివైన వ్యూహాల సమ్మేళనం, కొన్ని ప్రాథమిక సాంకేతికతలతో కలిపి, ముప్పు నటుడి సామర్థ్యాల అంచనాను క్లిష్టతరం చేస్తుంది మరియు అధిక విశ్వాసంతో వారి అంతిమ లక్ష్యాలను గుర్తించడం సవాలుగా చేస్తుంది.