Eine neue Schadsoftware namens Voldemort zielt auf Google Sheets ab. Außerdem gibt sie sich als Steuerbehörden aus den USA, Europa und Asien aus, um mehrere Angriffsmethoden zu eröffnen und auszunutzen.
Voldemort-Malware zielt auf Google Sheets ab
Proofpoint hat eine neue Malware-Kampagne identifiziert und beobachtet. Die Malware verbreitet eine bislang undokumentierte Backdoor namens „Voldemort“. Sie ist nicht auf eine bestimmte Region beschränkt und läuft in zwei Phasen ab.
Entsprechend Piepender ComputerVoldemort ist im Wesentlichen eine C-basierte Hintertür. Sie enthält mehrere Befehle und Dateiverwaltungsaktionen. Die Malware kann auch neue Nutzdaten in das System einbringen und sogar Dateien löschen. Die Hauptfunktion ist jedoch die Datenexfiltration.
Proofpoint-Forscher Tommy Madjar (@ffforward), Pim Trouerbach (@Myrtus0x0) und Selena Larson (@selenalarson) untersuchen eine mutmaßliche Spionagekampagne, die die Voldemort-Hintertür bereitstellt. https://t.co/pPLBk1YYpg pic.twitter.com/NCfXepvvqn
— Virus Bulletin (@virusbtn) 30. August 2024
Es ist besorgniserregend, dass die Voldemort-Malware Google Sheets als Command-and-Control-Server (C2) verwendet. Darüber hinaus verwendet diese Malware die API von Google mit einer eingebetteten Client-ID, einem Geheimnis und einem Aktualisierungstoken, um mit Google Sheets zu interagieren.
Diese Techniken helfen dabei, dass die Voldemort-Malware unter dem Radar bleibt. Mit anderen Worten: Die Netzwerkkommunikation von Voldemort erscheint legitim und wird daher von Sicherheitstools nicht als verdächtig eingestuft.
Google Sheets ist einer der am häufigsten genutzten Cloud-Dienste. Das bedeutet, dass Sicherheitsteams den Dienst nicht einfach blockieren können, um die Verbreitung der Voldemort-Malware über Google Sheets einzudämmen.
Malware, die sich als Steuerbeamte ausgibt, verbreitet sich
Um ihre Angriffe zu verbreiten, greifen die Angreifer auf ganz normale Phishing-E-Mails zurück. Berichten zufolge ermitteln die Angreifer anhand öffentlicher Informationen den Standort der Zielorganisation und versenden dann Phishing-E-Mails.
Diese E-Mails geben sich als Steuerbehörden aus dem Land der Organisation aus. Sie geben an, dass es aktuelle Steuerinformationen gibt. Die E-Mail enthält Links zu „relevanten“ Dokumenten. Es muss nicht extra erwähnt werden, dass diese Links Köder sind.
#Bedrohungsbericht #HoheVollständigkeit
Die Malware, deren Name nicht genannt werden darf: Mutmaßliche Spionagekampagne liefert „Voldemort“ | 29.08.2024
Quelle: https://t.co/MDgQBuCLn5
Wichtige Details unten ↓ pic.twitter.com/DpKb57Ttdf— RST Cloud (@rst_cloud) 30. August 2024
Sicherheitsforscher haben beobachtet, dass die Links die Opfer zu einer Landingpage führen, die auf InfinityFree gehostet wird. Wenn die Malware erkennt, dass sie sich auf einem Windows-Computer befindet, führt sie die Opfer zu einer TryCloudflare-getunnelten URI (Windows Search Protocol).
Durch die Interaktion mit der Datei erhalten die Opfer eine als PDF getarnte ZIP-Datei. Dies ist eine gängige Technik bei Phishing-Angriffen, da auf Remote-Servern gehostete Dateien so aussehen, als ob sie sich auf dem lokalen Computer befinden. Dadurch werden die Opfer getäuscht und denken, sie hätten die Datei heruntergeladen und Microsoft Defender hätte sie gescannt.
Wenn die Ecrime-Bande etwas findet… anderes
Wenn Sie seltsame Infektionsketten, WebDAV, Python, benutzerdefinierte Hintertüren mit neuartigen C2-Methoden und die Verwendung von Dumpulator, PCAPs und mehr mögen, ist die Bande @selenalarson @Myrtus0x0 @ffforward habe dich abgedeckt! https://t.co/IFvoNEVUmH pic.twitter.com/x5TMPkde59
— Greg Lesnewich (@greglesnewich) 29. August 2024
Während das Opfer mit der Datei interagiert, installiert sich die Voldemort-Malware im Hintergrund. Um das System zu infizieren, verwendet sie eine legitime Cisco WebEx-Programmdatei (CiscoCollabHost.exe) und eine bösartige DLL (CiscoSparkLauncher.dll).
Bisher sind Linux-PCs und Mac OS-Benutzer immun gegen den Malware-Angriff. Proofpoint empfiehlt jedoch, den Zugriff auf externe File-Sharing-Dienste einzuschränken. System- und Netzwerkadministratoren können Verbindungen zu TryCloudflare blockieren und verdächtige PowerShell-Skripte überwachen, die auf Bürocomputern mit Windows-Betriebssystem ausgeführt werden.
