Bezbednosni istraživači iz Proofpoint-a nedavno su upozorili na novi malver pod nazivom „Voldemort“, koji se širi putem fišing mejlova i koristi Google Sheets da bi zaobišao bezbednosne sisteme i dobio pristup raznim podacima.
Glavne mete ovog malvera su kompanije, preduzeća i organizacije, posebno u sektorima osiguranja, vazduhoplovstva, transporta i obrazovanja. Napadači koji stoje iza ovog malvera još uvek su nepoznati, ali Proofpoint veruje da je u pitanju oblik sajber špijunaže.
Fišing mejlovi s malverom Voldemort lažno se predstavljaju kao da dolaze od vlasti iz SAD-a, Evrope ili Azije. Prema izveštaju, napadači prilagođavaju mejlove lokaciji ciljanih organizacija koristeći javno dostupne informacije, a mejlovi sadrže linkove ka navodnim dokumentima sa „ažuriranim poreskim informacijama“.
Šta se dešava kada kliknete?
Kampanja malvera počela je 5. avgusta 2024. godine, a napadači su već poslali više od 20.000 mejlova ciljnim kompanijama. U danima špica, fišing mejlovi dostižu i do 6.000 potencijalnih žrtava.
Kada žrtva klikne na link u mejlu, biće preusmerena na preuzimanje datoteke koja je maskirana kao PDF, što možda ne izgleda sumnjivo. Međutim, malver se maskira kao mrežni saobraćaj i koristi Google Sheets kao server za komande i kontrolu (poznat i kao C2 napad) — i bezbednosni sistemi ne klasifikuju saobraćaj malvera kao sumnjiv zbog korišćenja Google-ovog API-ja, uključujući ugrađene podatke za pristup.
Malver je prvenstveno namenjen krađi podataka, ali je takođe sposoban za preuzimanje dodatnog malvera, brisanje datoteka, privremeno onemogućavanje sebe i još mnogo toga. U suštini, može da funkcioniše kao pozadinski pristup i stoga predstavlja svestran izvor pretnji za zaražene sisteme.
Kako da se zaštitite
Da biste se zaštitili od kampanje malvera „Voldemort“, Proofpoint preporučuje ograničavanje pristupa spoljnim servisima za deljenje fajlova samo na pouzdane servere, blokiranje konekcija ka TryCloudflare kada nisu aktivno potrebne i praćenje sumnjivih PowerShell izvršenja.