I ricercatori di sicurezza informatica hanno scoperto una nuova campagna di malware che sfrutta Google Sheets come meccanismo di comando e controllo (C2); il nome di questo malware è Voldemort, come l’omonimo antagonista della serie Harry Potter.
Il nuovo malware che sfrutta Google Sheets chiamato Voldemort
L’attività, rilevata da Proofpoint a partire dal 5 agosto 2024, imita le autorità fiscali dei governi in Europa, Asia e Stati Uniti, con l’obiettivo di colpire oltre 70 organizzazioni in tutto il mondo attraverso uno strumento su misura chiamato Voldemort, progettato per raccogliere informazioni e distribuire payload aggiuntivi.
I settori presi di mira dal malware Voldemort includono assicurazioni, aerospaziale, trasporti, accademia, finanza, tecnologia, industria, sanità, automotive, ospitalità, energia, governo, media, produzione, telecomunicazioni e organizzazioni di assistenza sociale.
La campagna di spionaggio informatico sospetta non è stata attribuita a un criminale informatico (o gruppo di criminali informatici) specifico; fino a 20.000 messaggi email sono stati inviati come parte degli attacchi.
Queste email affermano di provenire dalle autorità fiscali di Stati Uniti, Regno Unito, Francia, Germania, Italia, India e Giappone, avvisando i destinatari di modifiche nelle loro dichiarazioni fiscali e esortandoli a cliccare su URL di Google AMP Cache che reindirizzano gli utenti a una pagina intermedia.
Voldemort attacca i sistemi operativi Windows prevalentemente
La pagina controlla la stringa User-Agent per determinare se il sistema operativo è Windows e, in tal caso, sfrutta il protocollo URI search-ms: per visualizzare un file di collegamento (LNK) di Windows che utilizza Adobe Acrobat Reader per mascherarsi come file PDF, nel tentativo di ingannare la vittima affinché lo apra.
“Se il file LNK viene eseguito, invoca PowerShell per eseguire Python.exe da una terza condivisione WebDAV sullo stesso tunnel (\library), passando uno script Python su una quarta condivisione (\resource) sullo stesso host come argomento“, hanno spiegato i ricercatori di Proofpoint Tommy Madjar, Pim Trouerbach e Selena Larson, aggiungendo: “Questo fa sì che Python esegua lo script senza scaricare alcun file sul computer, con le dipendenze caricate direttamente dalla condivisione WebDAV.”
Lo script Python è progettato per raccogliere informazioni sul sistema e inviare i dati sotto forma di stringa codificata in Base64 a un dominio controllato dal criminale informatico o gruppo di criminali informatici, dopodiché mostra un PDF ingannevole all’utente e scarica un file ZIP protetto da password da OpenDrive.
Voldemort e gli archivi .ZIP
L’archivio ZIP, a sua volta, contiene due file: un eseguibile legittimo “CiscoCollabHost.exe”, vulnerabile al caricamento laterale di DLL, e una DLL dannosa “CiscoSparkLauncher.dll” (ossia, Voldemort) che viene caricata lateralmente.
Voldemort è una backdoor personalizzata scritta in C con capacità di raccolta di informazioni e caricamento di payload di fase successiva, utilizzando Google Sheets per C2, esfiltrazione di dati ed esecuzione di comandi da parte degli operatori.
Proofpoint ha descritto l’attività come allineata alle minacce persistenti avanzate (APT), ma con “vibrazioni di crimine informatico” a causa dell’uso di tecniche popolari nel panorama dell’e-crime.
“I criminali informatici abusano degli schemi URI dei file per accedere a risorse di condivisione file esterne per la messa in scena del malware, in particolare WebDAV e Server Message Block (SMB). Questo viene fatto utilizzando lo schema ‘file://’ e puntando a un server remoto che ospita i contenuti dannosi“, hanno affermato i ricercatori.
Voldemort e “legami di parentela” con altre famiglie di malware
Questo approccio è stato sempre più diffuso tra le famiglie di malware che agiscono come broker di accesso iniziale (IAB), come Latrodectus, DarkGate e XWorm.
Tra le altre cose, Proofpoint ha affermato di essere stata in grado di leggere i contenuti del Google Sheet, identificando un totale di sei vittime, inclusa una che si ritiene sia una sandbox o un “ricercatore noto”.
La campagna è stata definita insolita, sollevando la possibilità che i criminali informatici abbiano gettato una rete ampia prima di concentrarsi su un piccolo gruppo di obiettivi, ed è anche possibile che gli attaccanti, probabilmente con livelli di competenza tecnica variabili, abbiano pianificato di infettare diverse organizzazioni.
“Sebbene molte delle caratteristiche della campagna siano allineate all’attività delle minacce di criminali informatici, valutiamo che questa sia probabilmente un’attività di spionaggio condotta per supportare obiettivi finali ancora sconosciuti,” hanno detto i ricercatori, che hanno poi affermato: “L’amalgama frankensteiniano di capacità intelligenti e sofisticate, accoppiato con tecniche e funzionalità molto basilari, rende difficile valutare il livello di capacità dei criminali informatici e determinare con alta fiducia gli obiettivi finali della campagna.”
Lo sviluppo arriva mentre Netskope Threat Labs ha scoperto una versione aggiornata di Latrodectus (versione 1.4) che include un nuovo endpoint C2 e aggiunge due nuovi comandi di backdoor che consentono di scaricare shellcode da un server specificato e recuperare file arbitrari da una posizione remota.
“Latrodectus si è evoluto piuttosto rapidamente, aggiungendo nuove funzionalità al suo payload“, ha affermato il ricercatore di sicurezza Leandro Fróes. “La comprensione degli aggiornamenti applicati al suo payload consente ai difensori di mantenere pipeline automatizzate correttamente impostate, nonché di utilizzare le informazioni per ulteriori ricerche di nuove varianti.“
Approfondimento: Voldemort può infettare anche Linux?
Sebbene la campagna descritta sembri essere focalizzata sui sistemi Windows, non è da escludere che Voldemort possa colpire anche sistemi Linux, specialmente considerando la natura multipiattaforma del linguaggio Python.
Poiché molti pacchetti su Linux includono librerie Python, esiste una concreta possibilità che il malware possa essere adattato per infettare anche questi sistemi, sfruttando la stessa tecnica di caricamento laterale di DLL o attraverso altri metodi specifici per l’ambiente Linux e questo scenario aumenta ulteriormente la portata potenziale della minaccia informatica.
Curiosità: origine del nome Voldemort
Il nome “Voldemort” scelto per questo malware non è casuale. Richiama immediatamente l’immagine del celebre antagonista della serie di libri e film di Harry Potter, noto per la sua astuzia, potenza e capacità di agire nell’ombra e proprio come il personaggio fittizio, il malware Voldemort è stato progettato per operare in modo furtivo, nascondendo le sue tracce mentre raccoglie informazioni sensibili e attacca le sue vittime, quasi “magico”, per così dire.
L’associazione con un nome così temibile serve a sottolineare la pericolosità e l’efficacia del malware, oltre a creare un’immagine immediata e facilmente riconoscibile della minaccia che rappresenta.
