Il nuovo malware Voldemort sfrutta Google Sheets per memorizzare i dati rubati.
“Con la nuova backdoor rilevata dai ricercatori di Proofpoint”, commenta Riccardo Michetti, Senior SOC Threat Intelligence Analyst di Tinexta Cyber, “abbiamo conferma di come i Threat Actor stiano abusando sempre maggiormente di servizi legittimi nelle loro campagne”.
“L’utilizzo di servizi legittimi per scopi malevoli, come mostrato dal caso di questa nuova campagna Voldemort”, conferma Luigi Martire, Tinexta Cyber CERT Technical Leader, “sottolinea l’importanza di una vigilanza continua e di un approccio alla sicurezza integrato”.
Ecco il vettore d’attacco e come mitigare il rischio del malware per utenti Windows.
Indice degli argomenti
Il malware Voldemort si traveste da autorità fiscali
Una nuova campagna malware sta diffondendo una backdoor, in precedenza non documentata, nota come Voldemort. Si spaccia per agenzie fiscali di Stati Uniti, Europa e Asia per memorizzare i dati rubati. In Italia, i cyber criminali si sono spacciati per l’Agenzia delle Entrate.
Secondo un rapporto di Proofpoint, la campagna è iniziata il 5 agosto scorso e ha diffuso oltre 20.000 email a più di 70 organizzazioni mirate, raggiungendone 6.000 in un solo giorno al culmine della sua attività.
Oltre la metà di tutte le organizzazioni prese di mira appartengono ai settori assicurativo, aerospaziale, dei trasporti e dell’istruzione. L’attore della minaccia dietro questa campagna è sconosciuto, ma Proofpoint ritiene che abbia l’obiettivo di condurre uno spionaggio informatico.
“Nel caso specifico, l’exfiltration avviene tramite Google Sheets”, avverte Riccardo Michetti, “ma ricordiamo come molti Threat Actor abusano regolarmente anche di altri canali come GitHub, Slack, Telegram, Microsoft e Cloduflare nella parte infrastrutturale e di Command&Control”.
“L’utilizzo di Cloudflare per l’hosting di campagne di phishing e distribuzione malware, per esempio, è una pratica sempre più nota come rilevato anche nel report ThreatLandscape di Tinexta Cyber – a breve disponibile -“, continua Michetti: “La ragione è semplice: utilizzando servizi legittimi, diminuisce la probabilità di detection da parte di strumenti di monitoraggio classici“.
L’attacco è simile a quello descritto da Proofpoint all’inizio del mese, ma prevedeva un diverso set di malware nella fase finale.
L’uso del phishing da parte del malware Valdemort
Secondo un nuovo rapporto, invece, gli aggressori creano mail di phishing che corrispondono a un’organizzazione mirata ubicata sulla base di informazioni pubbliche. Le mail di phishing impersonano le autorità fiscali del Paese dell’organizzazione, millantando che ci sono informazioni fiscali aggiornate e includono link a documenti associati.
“Questo approccio consente agli attaccanti di eludere i sistemi di rilevamento tradizionali“, mette in guardia Luigi Martire, “poiché Google Sheets è uno strumento ampiamente utilizzato e considerato sicuro, e risulta essere, allo stesso tempo, una sfida per i professionisti tutti coloro che devono definire un ‘perimetro aziendale’ da difendere, in quanto, spesso, questi sistemi vengono esclusi dal monitoraggio, essendo prodotti ‘affidabili’ di vendor”.
Il vettore d’attacco
Cliccando sul link, i destinatari subiscono un reindirizzamento verso una pagina d’atterraggio ospitata su InfinityFree, che sfrutta gli URL di Google AMP Cache per dirottare la vittima a una pagina con un pulsante “Clicca per visualizzare il documento”.
Quando si clicca sul pulsante, la pagina controlla l’agente utente del browser e, se è per Windows, reindirizza l’obiettivo a un URI search-ms (Windows Search Protocol) che punta a un URI con tunnel TryCloudflare. Gli utenti non Windows vengono reindirizzati a un URL vuoto di Google Drive che non contiene contenuti malevoli.
Se la vittima interagisce con il file search-ms, Windows Explorer viene attivato per visualizzare un file LNK o ZIP camuffato da PDF.
L’uso del file search-ms: URI sta acquisendo popolarità negli ultimi tempi nelle campagne di phishing. Infatti, sebbene questo file sia ospitato su una condivisione WebDAV/SMB esterna, viene fatto apparire come se risiedesse localmente nella cartella Download per indurre la vittima ad aprirlo.
In questo modo si esegue uno script Python da un’altra condivisione WebDAV senza scaricarlo sull’host. A sua volta esegue la raccolta di informazioni sul sistema per tracciare il profilo della vittima. Allo stesso tempo, si visualizza un PDF esca per nascondere l’attività dannosa.
Lo script scarica anche un eseguibile Cisco WebEx legittimo (CiscoCollabHost.exe) e una DLL malevola (CiscoSparkLauncher.dll) per caricare Voldemort utilizzando il side-loading della DLL.
L’abuso di Google Sheets
Voldemort è una backdoor basata su C che supporta un’ampia gamma di comandi e azioni di gestione dei file, tra cui l’esfiltrazione, l’introduzione di nuovi payload nel sistema e l’eliminazione di file.
L’elenco dei comandi supportati è riportato di seguito:
- Ping: verifica la connettività tra il malware e il server C2;
- Dir: recupera un elenco di directory dal sistema infetto;
- Download: scarica i file dal sistema infetto al server C2;
- Upload: carica i file dal server C2 al sistema infetto;
- Exec: esegue un comando o un programma specifico sul sistema infetto;
- Copy: copia file o directory all’interno del sistema infetto;
- Move – Sposta file o directory all’interno del sistema infetto.
- Sleep: mette il malware in modalità sleep per una durata specificata, durante la quale non eseguirà alcuna attività;
- Exit: termina le operazioni del malware sul sistema infetto.
Una caratteristica notevole di Voldemort consiste nell’utilizzo di Google Sheets come server di comando e controllo (C2), effettuando il ping per ottenere nuovi comandi da eseguire sul dispositivo infetto e come deposito per i dati rubati.
Ogni macchina infetta scrive i propri dati in celle specifiche all’interno del foglio Google, che possono essere designate da identificatori unici come gli UUID, assicurando così l’isolamento e una gestione più chiara dei sistemi violati.
Come proteggersi dal malware Voldemort
“La scoperta della nuova Backdoor Voldermort sottolinea l’importanza della formazione continua del personale e della collaborazione tra i diversi team di sicurezza per identificare e mitigrare quanto prima queste nuove minacce emergenti”, conclude Riccardo Michetti.
Voldemort sfrutta l’API di Google con un ID client, un segreto e un token di aggiornamento incorporati per interagire con Google Sheets. La memorizzazione avviene nella sua configurazione crittografata.
L’approccio offre al malware un canale C2 affidabile e altamente disponibile, oltre a ridurre la probabilità che la comunicazione di rete subisca rilevamento e segnalazione da parte degli strumenti di sicurezza. Poiché Google Sheets è comunemente utilizzato in azienda, il blocco del servizio risulta poco pratico.
Serve “una vigilanza continua e di un approccio alla sicurezza che integri la visibilità e il controllo su tutte le comunicazioni, anche quelle apparentemente sicure“, conclude Luigi Martire: dunque “sono sempre più necessarie delle misure di introspezione delle comunicazioni che vigilino in queste situazioni, dove la campagna di Voldemort utilizza una tecnica innovativa e subdola per immagazzinare dati rubati, sfruttando Google Sheets”.
Nel 2023 il gruppo di hacker cinesi APT41 in precedenza avrebbe utilizzato Google Sheets come server di comando e controllo tramite l’uso del toolkit red-teaming GC2.
Per difendersi da questa campagna, Proofpoint consiglia di limitare l’accesso ai servizi di condivisione di file esterni ai server affidabili, di bloccare le connessioni a TryCloudflare se non sono necessarie attivamente e di effettuare il monitoraggio dell’esecuzione di PowerShell sospette.
