Malware baru, yang diidentifikasi sebagai Voldemort, tengah menargetkan Google Sheets. Malware ini juga menyamar sebagai badan pajak dari AS, Eropa, dan Asia untuk membuka dan mengeksploitasi berbagai vektor serangan.
Malware Voldemort menargetkan Google Sheets
Kampanye malware baru telah diidentifikasi dan diamati oleh ProofpointMalware tersebut menyebarkan backdoor yang sebelumnya tidak terdokumentasi bernama “Voldemort”. Backdoor ini tidak terbatas pada satu wilayah tertentu dan melibatkan dua tahap.
Menurut Komputer BerbunyiBahasa Indonesia: Voldemort pada dasarnya adalah pintu belakang berbasis C. Ia berisi beberapa perintah dan tindakan manajemen berkas. Malware tersebut juga dapat memasukkan muatan baru ke dalam sistem dan bahkan menghapus berkas. Namun, fungsi utamanya adalah pencurian data.
Peneliti Proofpoint Tommy Madjar (@ffmaju terus), Pim Trouerbach (@myrtus0x0) dan Selena Larson (@selenalarson) menyelidiki dugaan kampanye mata-mata yang menyebarkan pintu belakang Voldemort. https://t.co/pPLBk1YYpg foto.twitter.com/NCfXepvvqn
— Buletin Virus (@virusbtn) 30 Agustus 2024
Yang perlu diperhatikan adalah malware Voldemort menggunakan Google Sheets sebagai Command And Control Server (C2). Selain itu, malware ini menggunakan API Google dengan ID klien, rahasia, dan token penyegaran yang tertanam untuk berinteraksi dengan Google Sheets.
Teknik-teknik ini membantu malware Voldemort tetap berada di bawah radar. Dengan kata lain, komunikasi jaringan Voldemort tampak sahdan oleh karena itu, peralatan keamanan gagal menandainya sebagai mencurigakan.
Google Sheets merupakan salah satu layanan cloud yang paling banyak digunakan. Ini berarti tim keamanan tidak dapat begitu saja memblokir layanan tersebut untuk membendung penyebaran malware Voldemort melalui Google Sheets.
Malware yang menyamar sebagai petugas pajak untuk menyebar
Untuk menyebarkan ancaman, para pelaku kejahatan menggunakan berbagai cara email phishing biasaPenyerang dilaporkan mengumpulkan lokasi organisasi target berdasarkan informasi publik dan kemudian mengirim email phishing.
Email ini menyamar sebagai otoritas pajak dari negara tempat organisasi tersebut berada. Email tersebut menyatakan bahwa ada informasi pajak terkini. Email tersebut menyertakan tautan ke dokumen yang “relevan”. Tidak perlu ditambahkan lagi, tautan ini hanyalah umpan.
#laporanancaman #KelengkapanTinggi
Malware yang Tidak Boleh Disebutkan Namanya: Diduga Kampanye Spionase Menyampaikan “Voldemort” | 29-08-2024
Sumber: https://t.co/MDgQBuCLn5
Detail utama di bawah ↓ foto.twitter.com/DpKb57Ttdf— Awan RST (@rst_cloud) 30 Agustus 2024
Peneliti keamanan telah mengamati bahwa tautan tersebut membawa korban ke halaman arahan yang dihosting di InfinityFree. Jika perangkat lunak berbahaya mengenali bahwa ia ada di komputer Windows, ia mengarahkan korban ke URI (Windows Search Protocol) yang disalurkan melalui TryCloudflare.
Berinteraksi dengan berkas tersebut mengakibatkan korban mendapatkan berkas ZIP yang disamarkan sebagai PDF. Ini adalah teknik umum dalam serangan phishing karena berkas yang dihosting di server jarak jauh tampak seolah-olah berada di komputer lokal. Hal ini mengelabui korban dengan berpikir bahwa mereka telah mengunduh berkas tersebut dan berasumsi bahwa Microsoft Defender telah memindai berkas tersebut.
Ketika geng kejahatan elektronik menemukan sesuatu… yang lain
Jika Anda menyukai rantai infeksi aneh, WebDAV, Python, pintu belakang khusus dengan metode C2 baru, dan penggunaan Dumpulator, PCAP, dan banyak lagi, geng @selenalarson @myrtus0x0 @ffmaju terus siap membantu Anda! https://t.co/IFvoNEVUmH foto.twitter.com/x5TMPkde59
— Greg Lesnewich (@greglesnewich) 29 Agustus 2024
Saat korban berinteraksi dengan berkas tersebut, malware Voldemort terinstal di latar belakang. Untuk menginfeksi sistem, malware tersebut menggunakan Cisco WebEx yang sah (CiscoCollabHost.exe) dan DLL berbahaya (CiscoSparkLauncher.dll).
Sejauh ini, pengguna PC Linux dan Mac OS kebal terhadap serangan malware. Namun, Proofpoint menyarankan untuk membatasi akses ke layanan berbagi file eksternal. Admin sistem dan jaringan dapat memblokir koneksi ke TryCloudflare dan memantau skrip PowerShell mencurigakan yang berjalan di komputer kantor yang menjalankan OS Windows.
