Un nuevo malware, identificado como Voldemort, tiene como objetivo Google Sheets. También se hace pasar por agencias tributarias de EE. UU., Europa y Asia para abrir y explotar múltiples vectores de ataque.
Malware Voldemort dirigido a Google Sheets
Una nueva campaña de malware ha sido identificado y observado por Proofpoint. El malware está propagando una puerta trasera no documentada anteriormente llamada «Voldemort». No se limita a una región específica y consta de dos etapas.
De acuerdo a Computadora que suena, Voldemort es esencialmente una puerta trasera basada en C. Incluye múltiples comandos y acciones de administración de archivos. El malware también puede introducir nuevas cargas útiles en el sistema e incluso eliminar archivos. Sin embargo, la función principal es la filtración de datos.
Los investigadores de Proofpoint, Tommy Madjar (@ffforward), Pim Trouerbach (@myrtus0x0) y Selena Larson (@selenalarson) investigan una supuesta campaña de espionaje que entrega la puerta trasera de Voldemort. https://t.co/pPLBk1YYpg pic.twitter.com/NCfXepvvqn
– Boletín de virus (@virusbtn) 30 de agosto de 2024
Es preocupante observar que el malware Voldemort utiliza Google Sheets como servidor de comando y control (C2). Además, este malware utiliza la API de Google con un ID de cliente integrado, un secreto y un token de actualización para interactuar con Google Sheets.
Estas técnicas ayudan a que el malware Voldemort permanezca fuera del radar. En otras palabras, la comunicación en red de Voldemort. parece legítimoy, por lo tanto, las herramientas de seguridad no logran marcarlo como sospechoso.
Google Sheets es uno de los servicios en la nube más utilizados. Esto significa que los equipos de seguridad no pueden simplemente bloquear el servicio para detener la propagación del malware Voldemort a través de Google Sheets.
Se propagará malware que se hace pasar por funcionarios fiscales
Para propagarse, los actores de amenazas han recurrido a viejos correos electrónicos de phishing. Según se informa, los atacantes recopilan la ubicación de la organización objetivo basándose en información pública y luego envían correos electrónicos de phishing.
Estos correos electrónicos se hacen pasar por autoridades fiscales del país de la organización. Dice que hay información fiscal actualizada. El correo electrónico incluye enlaces a documentos «relevantes». No hace falta añadir que estos vínculos son un cebo.
#informedeamenaza #AltaCompletitud
El malware cuyo nombre no debe mencionarse: una supuesta campaña de espionaje revela «Voldemort» | 29-08-2024
Fuente: https://t.co/MDgQBuCLn5
Detalles clave a continuación ↓ pic.twitter.com/DpKb57Ttdf– Nube RST (@rst_cloud) 30 de agosto de 2024
Los investigadores de seguridad han observado que los enlaces llevan a las víctimas a una página de destino alojada en InfinityFree. si el malware reconoce que está en una computadora con Windows, dirige a las víctimas a un URI (Protocolo de búsqueda de Windows) tunelizado por TryCloudflare.
Al interactuar con el archivo, las víctimas obtienen un archivo ZIP disfrazado de PDF. Esta es una técnica común en los ataques de phishing porque los archivos alojados en servidores remotos aparecen como si estuvieran en la computadora local. Esto engaña a las víctimas haciéndoles pensar que han descargado el archivo y suponen que Microsoft Defender lo habría escaneado.
Cuando la banda criminal encuentra algo… más
Si te gustan las cadenas de infección extrañas, WebDAV, Python, puertas traseras personalizadas con métodos C2 novedosos y el uso de Dumpulator, PCAP y más, la pandilla @selenalarson @myrtus0x0 @ffforward ¡te cubrimos! https://t.co/IFvoNEVUmH pic.twitter.com/x5TMPkde59
-Greg Lesnewich (@greglesnewich) 29 de agosto de 2024
Mientras la víctima interactúa con el archivo, el malware Voldemort se instala en segundo plano. Para infectar el sistema, utiliza un ejecutable legítimo de Cisco WebEx (CiscoCollabHost.exe) y una DLL maliciosa (CiscoSparkLauncher.dll).
Hasta ahora, los usuarios de PC con Linux y Mac OS están inmune al ataque de malware. Sin embargo, Proofpoint recomienda restringir el acceso a servicios externos para compartir archivos. Los administradores de sistemas y redes pueden bloquear conexiones a TryCloudflare y monitorear scripts de PowerShell sospechosos que se ejecutan en computadoras de oficina con sistema operativo Windows.
Fuente: Android authority