Cybersicherheitsexperten von Proofpoint haben eine neue, hochentwickelte Malware-Kampagne aufgedeckt, die Google Sheets als Command-and-Control-Server (C2) missbraucht. Die als „Voldemort“ bezeichnete Backdoor-Malware zielt auf Organisationen weltweit ab und nutzt ausgeklügelte Taktiken, um Informationen zu sammeln und zusätzliche Schadlasten zu verteilen.
Anatomie des Angriffs: Von Phishing bis zur Infektion
Die Angriffskampagne, die am 5. August 2024 begann, hat bereits über 20.000 Phishing-E-Mails an mehr als 70 Organisationen weltweit versandt. Die Cyberkriminellen geben sich als Steuerbehörden aus verschiedenen Ländern in Europa, Asien und den USA aus und passen ihre Nachrichten an den Standort des jeweiligen Ziels an. Diese Taktik erhöht die Glaubwürdigkeit der Phishing-Versuche erheblich.
Bei Interaktion mit den in den E-Mails enthaltenen Links werden die Opfer durch eine Reihe von Umleitungen geführt, die letztendlich zur Ausführung eines Python-Skripts führen. Dieses Skript sammelt Systeminformationen und lädt gleichzeitig die Voldemort-Malware herunter, wobei es eine legitime PDF-Datei als Tarnung anzeigt.
Voldemort: Eine fortschrittliche Backdoor-Malware
Voldemort ist ein in C geschriebener Backdoor, der eine breite Palette von Befehlen und Dateioperationen unterstützt. Das Besondere an dieser Malware ist die Nutzung von Google Sheets als C2-Server. Diese innovative Technik ermöglicht es den Angreifern, neue Befehle an infizierte Geräte zu senden und gestohlene Daten zu speichern, ohne verdächtige Netzwerkaktivitäten zu generieren.
Missbrauch von Google Sheets API
Die Malware nutzt die Google Sheets API mit eingebetteten Anmeldeinformationen, um mit den kontrollierten Tabellenkalkulationen zu interagieren. Jedes infizierte System schreibt seine Daten in bestimmte Zellen, die durch eindeutige Identifikatoren gekennzeichnet sind. Dieser Ansatz gewährleistet eine effiziente Verwaltung und Isolierung kompromittierter Systeme.
Weitreichende Auswirkungen und Ziele
Die Kampagne zielt auf ein breites Spektrum von Sektoren ab, darunter Versicherungen, Luft- und Raumfahrt, Verkehr, Bildung, Finanzen, Technologie, Gesundheitswesen und Regierungsbehörden. Proofpoint-Experten vermuten, dass das Hauptziel der Angreifer Cyberspionage ist, obwohl die genaue Identität der Täter noch unbekannt ist.
Diese ausgeklügelte Malware-Kampagne unterstreicht die ständige Evolution von Cyber-Bedrohungen. Die Nutzung weit verbreiteter und vertrauenswürdiger Dienste wie Google Sheets als C2-Infrastruktur stellt eine besondere Herausforderung für Sicherheitsteams dar. Organisationen müssen ihre Sicherheitsmaßnahmen kontinuierlich anpassen, um mit diesen fortschrittlichen Taktiken Schritt zu halten. Verstärkte Schulungen zur Erkennung von Phishing, mehrstufige Authentifizierung und fortschrittliche Endpoint-Detection-and-Response-Lösungen sind entscheidend, um sich vor solchen raffinierten Angriffen zu schützen.