I ricercatori di cybersecurity hanno recentemente scoperto una campagna di malware innovativa che sfrutta Google Sheets come meccanismo di comando e controllo (C2). L'attività, rilevata da Proofpoint a partire dal 5 agosto 2024, impersona le autorità fiscali di vari governi in Europa, Asia e Stati Uniti, con l'obiettivo di colpire oltre 70 organizzazioni in tutto il mondo. Lo strumento utilizzato, chiamato Voldemort, è in grado di raccogliere informazioni e distribuire ulteriori payload.

Settori Presi di Mira

I settori presi di mira includono assicurazioni, aerospazio, trasporti, accademia, finanza, tecnologia, industria, sanità, automobilistico, ospitalità, energia, governo, media, manifatturiero, telecomunicazioni e organizzazioni di beneficenza sociale. Non è stato possibile attribuire la campagna a un attore specifico. Sono stati inviati fino a 20.000 messaggi email come parte degli attacchi, fingendo di provenire dalle autorità fiscali di Stati Uniti, Regno Unito, Francia, Germania, Italia, India e Giappone. Gli utenti sono invitati a cliccare su URL di Google AMP Cache che li reindirizzano a una pagina intermedia.

Metodologia degli Attacchi

La pagina ispeziona la stringa User-Agent per determinare se il sistema operativo è Windows e, in caso affermativo, utilizza il protocollo URI search-ms: per mostrare un file di collegamento Windows (LNK) che si maschera da file PDF. Se l'LNK viene eseguito, invoca PowerShell per eseguire Python.exe da una terza condivisione WebDAV, passando uno script Python da una quarta condivisione sullo stesso host come argomento. Questo fa sì che Python esegua lo script senza scaricare alcun file sul computer, con le dipendenze caricate direttamente dalla condivisione WebDAV.

Lo script Python è progettato per raccogliere informazioni di sistema e inviare i dati in forma di stringa codificata Base64 a un dominio controllato dagli attori, dopo di che mostra un PDF fittizio all'utente e scarica un file ZIP protetto da password da OpenDrive. L'archivio ZIP contiene due file, un eseguibile legittimo "CiscoCollabHost.exe" vulnerabile al caricamento laterale di DLL e una DLL dannosa "CiscoSparkLauncher.dll" (Voldemort) che viene caricata lateralmente.

Caratteristiche di Voldemort

Voldemort è una backdoor personalizzata scritta in C che offre capacità di raccolta informazioni e caricamento di payload successivi, utilizzando Google Sheets per C2, esfiltrazione dati ed esecuzione di comandi dagli operatori. Proofpoint ha descritto l'attività come allineata alle minacce persistenti avanzate (APT) ma con "vibrazioni di criminalità informatica" a causa dell'uso di tecniche popolari nel panorama del crimine elettronico.

Gli attori delle minacce abusano degli URI dello schema file per accedere a risorse di condivisione file esterne per la messa in scena del malware, utilizzando specificamente WebDAV e Server Message Block (SMB). Questa metodologia è sempre più comune tra le famiglie di malware che agiscono come broker di accesso iniziale (IAB), come Latrodectus, DarkGate e XWorm.

Proofpoint è riuscita a leggere i contenuti del foglio di Google, identificando un totale di sei vittime, inclusa una che sembra essere un sandbox o un "ricercatore noto". La campagna è stata definita insolita, il che suggerisce che gli attori delle minacce abbiano gettato una rete ampia prima di concentrarsi su un piccolo gruppo di obiettivi.