Il gruppo di attori di minacce noto come Cloud Atlas è stato recentemente osservato utilizzare un nuovo malware chiamato VBCloud, nell'ambito delle sue campagne di attacco informatico. Queste campagne hanno colpito "diverse decine di utenti" nel 2024, con oltre l'80% delle vittime situate in Russia. Le vittime vengono infettate attraverso email di phishing che contengono un documento malevolo. Questo documento sfrutta una vulnerabilità nel modulo editor di formule (CVE-2018-0802) per scaricare ed eseguire codice malware.

Cloud Atlas, noto anche come Clean Ursa, Inception, Oxygen, e Red October, è attivo dal 2014 e in passato è stato collegato ad attacchi informatici in Russia, Bielorussia e Transnistria. Nel dicembre 2022, il gruppo è stato associato ad attacchi che utilizzavano un backdoor basato su PowerShell chiamato PowerShower. Un anno dopo, attacchi mirati di spear-phishing hanno sfruttato una vecchia vulnerabilità di Microsoft Office per consegnare un payload VBS, che a sua volta scarica un malware VBS di fase successiva sconosciuto.

Un'analisi recente di Kaspersky ha rivelato che questi componenti fanno parte di un sistema chiamato VBShower, utilizzato per scaricare e installare PowerShower e VBCloud. L'attacco inizia con un'email di phishing contenente un documento Word che, una volta aperto, scarica un file RTF malevolo. Questo file utilizza CVE-2018-0802 per eseguire un file HTA dal server remoto. L'HTA sfrutta le NTFS ADS per creare vari file che costituiscono il backdoor VBShower.

VBShower è progettato per ottenere ulteriori payload VBS dal server di comando e controllo, con capacità di riavviare il sistema, raccogliere informazioni su file, processi in esecuzione e task schedulati, e installare PowerShower e VBCloud. PowerShower, simile a VBShower, scarica e esegue script PowerShell di fase successiva dal server C2 ed è in grado di scaricare file ZIP.

Kaspersky ha identificato sette payload PowerShell distinti, ciascuno con compiti specifici: ottenere elenchi di gruppi locali e membri su computer remoti, effettuare attacchi di dizionario su account utente, eseguire attacchi Kerberoasting, ottenere elenchi di gruppi amministrativi e controller di dominio, e raccogliere politiche di password e account.

VBCloud, simile a VBShower, utilizza servizi di archiviazione cloud pubblici per le comunicazioni C2 e si attiva ogni volta che un utente accede al sistema. È progettato per raccogliere informazioni sui dischi, metadati di sistema, file con estensioni specifiche e file legati all'app di messaggistica Telegram.

L'obiettivo finale della catena di infezione è il furto di dati dai dispositivi delle vittime, con PowerShower che sonda la rete locale e facilita l'infiltrazione, mentre VBCloud raccoglie informazioni e ruba file.