Эксперты по кибербезопасности из компании Proofpoint обнаружили новую масштабную вредоносную кампанию, использующую Google Таблицы для распространения бэкдора Voldemort. Эта изощренная атака, начавшаяся 5 августа 2024 года, уже затронула более 70 организаций по всему миру, охватив широкий спектр отраслей.
Механика фишинговой атаки
Злоумышленники рассылают фишинговые письма, маскируясь под налоговые органы различных стран. Они тщательно подбирают содержание писем, адаптируя его под местоположение целевой организации. Письма содержат ссылки на якобы обновленную налоговую информацию, которые ведут жертву через цепочку перенаправлений к вредоносному контенту.
Этапы атаки:
1. Жертва переходит по ссылке на лендинг на InfinityFree.
2. Происходит перенаправление через Google AMP Cache.
3. Пользователь попадает на страницу с кнопкой «Нажмите, чтобы просмотреть документ».
4. При нажатии проверяется User Agent браузера.
5. Для Windows-систем происходит перенаправление на URI search-ms.
6. В Windows Explorer отображается вредоносный файл, замаскированный под PDF.
Бэкдор Voldemort: особенности и функционал
Ключевым компонентом атаки является бэкдор Voldemort, написанный на языке C. Он обладает широким набором возможностей, включая кражу данных, внедрение дополнительных вредоносных программ и удаление файлов. Уникальной особенностью Voldemort является использование Google Sheets в качестве командно-контрольного сервера.
Механизм работы Voldemort:
1. Бэкдор получает команды через Google Таблицы.
2. Украденные данные сохраняются в определенных ячейках таблицы.
3. Каждая зараженная система идентифицируется уникальным UUID.
4. Для взаимодействия с Google Sheets используется API с встроенными учетными данными.
Такой подход обеспечивает надежный канал управления и затрудняет обнаружение вредоносной активности, так как Google Sheets широко используется в корпоративной среде.
Масштаб и цели атаки
По данным Proofpoint, злоумышленники уже разослали более 20 000 фишинговых писем, с пиковой активностью до 6000 сообщений в день. Атаке подверглись организации из различных секторов, включая:
— Страхование
— Аэрокосмическую промышленность
— Транспорт
— Академическую сферу
— Финансы
— Технологии
— Здравоохранение
— Энергетику
— Государственное управление
Эксперты Proofpoint полагают, что основной целью этой кампании является кибершпионаж. Широкий охват отраслей и географии атак указывает на серьезные намерения злоумышленников по сбору конфиденциальной информации.
Данная кампания демонстрирует растущую изощренность киберпреступников и подчеркивает необходимость постоянного совершенствования методов защиты. Организациям рекомендуется усилить меры по обучению сотрудников, внедрить многофакторную аутентификацию и регулярно обновлять системы безопасности для противодействия подобным угрозам.