Malware Voldemort
Los investigadores de ciberseguridad han identificado una nueva campaña de malware que utiliza Google Sheets como plataforma de comando y control (C2).
Detectada por investigadores en agosto de 2024, la campaña de ataque se hace pasar por autoridades fiscales de Europa, Asia y Estados Unidos para atacar a más de 70 organizaciones en todo el mundo. Los atacantes utilizan una herramienta personalizada llamada Voldemort, diseñada para recopilar información y desplegar malware adicional.
Los sectores afectados incluyen seguros, aeroespacial, transporte, academia, finanzas, tecnología, industria, atención médica, automoción, hotelería, energía, gobierno, medios de comunicación, manufactura, telecomunicaciones y organizaciones de beneficios sociales. Aunque la campaña de ciberespionaje no ha sido vinculada a un actor de amenazas específico, se estima que se han enviado hasta 20.000 correos electrónicos en estos ataques.
Tabla de contenido
Vector de compromiso inicial explotado por atacantes
Los correos electrónicos descubiertos pretenden ser de autoridades fiscales de EE. UU., Reino Unido, Francia, Alemania, Italia, India y Japón, informando a los destinatarios sobre actualizaciones de sus declaraciones de impuestos y solicitándoles que hagan clic en las URL de caché AMP de Google que los dirigen a una página de destino intermedia.
Esta página comprueba la cadena User-Agent para determinar si el sistema operativo del usuario es Windows. Si es así, la página utiliza el controlador de protocolo de URI search-ms: para presentar un archivo de acceso directo de Windows (LNK) camuflado en un PDF mediante Adobe Acrobat Reader en un intento de engañar a la víctima para que lo abra.
Si se ejecuta el archivo LNK, activa PowerShell para ejecutar Python.exe desde un recurso compartido WebDAV (\library) y pasa un script de Python ubicado en otro recurso compartido (\resource) en el mismo servidor como argumento.
Cómo se distribuye el malware Voldemort en sistemas comprometidos
Este método permite que Python ejecute el script sin guardar ningún archivo en la computadora, y las dependencias se cargan directamente desde el recurso compartido WebDAV.
El script de Python está programado para recopilar información del sistema y transmitirla como una cadena codificada en Base64 a un dominio controlado por los atacantes. Después, muestra un PDF señuelo al usuario y descarga un archivo ZIP protegido con contraseña desde OpenDrive.
El archivo ZIP contiene dos archivos: un ejecutable legítimo, 'CiscoCollabHost.exe', que es vulnerable a la carga lateral de DLL, y un archivo DLL malicioso, 'CiscoSparkLauncher.dll' (conocido como Voldemort), que es cargado lateralmente por el ejecutable.
Capacidades de la amenaza del malware Voldemort
Voldemort es una puerta trasera personalizada escrita en C que viene con capacidades para recopilar información y cargar cargas útiles de la siguiente etapa, con el malware utilizando Google Sheets para C2, exfiltración de datos y ejecución de comandos de los operadores.
Los investigadores describieron la actividad como alineada con las amenazas persistentes avanzadas (APT) pero con características de delitos cibernéticos debido al uso de técnicas populares en el panorama del delito electrónico.
Los actores de amenazas abusan de los URI de esquema de archivos para acceder a recursos externos de uso compartido de archivos para la preparación de malware, específicamente WebDAV y Server Message Block (SMB). Esto se hace utilizando el esquema 'file://' y apuntando a un servidor remoto que aloja el contenido amenazante.
Este enfoque ha sido cada vez más frecuente entre las familias de malware que actúan como agentes de acceso inicial (IAB), como Latrodectus , DarkGate y XWor m.
El objetivo del atacante sigue siendo desconocido
La campaña dañina se ha considerado inusual, lo que sugiere que los actores de la amenaza pueden haber apuntado inicialmente a una amplia gama de víctimas potenciales antes de limitar su enfoque a un grupo selecto. También es posible que los atacantes, que parecen poseer distintos niveles de experiencia técnica, tuvieran la intención de comprometer a varias organizaciones.
Aunque muchos aspectos de la campaña se asemejan a las actividades típicas de los cibercriminales, creemos que es probable que se trate de un esfuerzo de espionaje destinado a lograr objetivos aún desconocidos. La combinación de tácticas avanzadas e inteligentes de la campaña, combinadas con algunas técnicas básicas, complica la evaluación de las capacidades del actor de la amenaza y dificulta determinar sus objetivos finales con gran certeza.
