Pesquisadores de segurança cibernética identificaram uma nova campanha de malware que usa o Planilhas Google como um canal de comando e controle (C2).
A Proofpoint detectou essa atividade pela primeira vez em 5 de agosto de 2024. A campanha se passa por autoridades fiscais de vários governos na Europa, Ásia e EUA, com o objetivo de atingir mais de 70 organizações globalmente com uma ferramenta personalizada chamada Voldemort, que foi projetada para coletar informações e entregar cargas maliciosas adicionais.
Os setores visados incluem seguros, aeroespacial, transporte, academia, finanças, tecnologia, indústria, saúde, automotivo, hospitalidade, energia, governo, mídia, manufatura, telecomunicações e organizações de benefícios sociais.
A suposta campanha de espionagem cibernética não foi definitivamente vinculada a um agente de ameaça conhecido. Acredita-se que até 20.000 e-mails foram enviados como parte do ataque.
Esses e-mails, disfarçados de comunicações de autoridades fiscais nos EUA, Reino Unido, França, Alemanha, Itália, Índia e Japão, notificam os destinatários sobre atualizações em suas declarações fiscais e os levam a clicar em URLs do Google AMP Cache, que os redirecionam para uma página de destino intermediária.
Esta página verifica a string User-Agent para determinar se o sistema operacional é Windows. Se for, ele usa o manipulador de protocolo search-ms: URI para apresentar um arquivo de atalho do Windows (LNK) disfarçado como um PDF via Adobe Acrobat Reader, em uma tentativa de enganar o usuário para abri-lo.
“Se o arquivo LNK for executado, ele aciona o PowerShell para executar Python.exe de um compartilhamento WebDAV em um servidor diferente, passando um script Python de outro diretório compartilhado no mesmo host como um argumento”, explicaram os pesquisadores da Proofpoint Tommy Madjar, Pim Trouerbach e Selena Larson.
“Este método permite que o script seja executado sem baixar nenhum arquivo para a máquina local, pois as dependências necessárias são carregadas diretamente do compartilhamento WebDAV.”
O script Python tem como objetivo coletar informações do sistema e enviar os dados como uma string codificada em Base64 para um domínio controlado pelo invasor. Depois, ele exibe um PDF falso para o usuário e baixa um arquivo ZIP protegido por senha do OpenDrive.
Este arquivo ZIP contém dois itens: um executável legítimo, “CiscoCollabHost.exe“, que é vulnerável ao carregamento lateral de DLL, e uma DLL maliciosa, “CiscoSparkLauncher.dll” (também conhecida como Voldemort), que é carregada lateralmente.
Voldemort é um backdoor personalizado escrito em C que permite a coleta de dados e a implantação de payloads adicionais. O malware utiliza o Planilhas Google para comunicação C2, exfiltração de dados e execução de comandos dos invasores.
A Proofpoint caracterizou a atividade como consistente com ameaças persistentes avançadas (APT), mas com uma “vibe de crime cibernético” devido ao uso de técnicas comumente vistas em crimes eletrônicos.
“Os agentes de ameaças estão explorando URIs de esquema de arquivo para acessar recursos externos de compartilhamento de arquivos para preparação de malware, especificamente WebDAV e Server Message Block (SMB)”, observaram os pesquisadores. “Isso é feito usando o esquema ‘file://’ para apontar para um servidor remoto que hospeda o conteúdo malicioso.”
Essa tática se tornou cada vez mais comum entre famílias de malware que funcionam como corretores de acesso inicial (IABs), como Latrodectus, DarkGate e XWorm.
Além disso, a Proofpoint conseguiu examinar o conteúdo do Planilhas Google, identificando seis vítimas no total, incluindo uma que se acredita ser um sandbox ou um pesquisador conhecido.
A campanha foi descrita como incomum, sugerindo que os agentes da ameaça podem ter lançado uma rede ampla antes de se concentrar em um grupo menor de alvos. Também é possível que os invasores, que podem possuir vários níveis de conhecimento técnico, pretendessem comprometer várias organizações.
“Embora muitos aspectos da campanha sugiram atividade de criminosos cibernéticos, acreditamos que esta seja mais provavelmente uma operação de espionagem destinada a atingir objetivos atualmente desconhecidos”, declararam os pesquisadores.
“A combinação de técnicas sofisticadas e inteligentes com métodos rudimentares cria um desafio para avaliar com precisão as capacidades do agente da ameaça e determinar definitivamente os objetivos finais desta campanha.”
Este desenvolvimento coincide com a descoberta do Netskope Threat Labs de uma versão atualizada do malware Latrodectus (versão 1.4), que agora apresenta um novo ponto de extremidade de comando e controle (C2) e introduz dois comandos de backdoor adicionais. Esses comandos permitem que o malware baixe o shellcode de um servidor designado e recupere arquivos arbitrários de um local remoto.
“O Latrodectus tem evoluído rapidamente, incorporando novos recursos em sua carga útil”, disse o pesquisador de segurança Leandro Fróes. “Entender essas atualizações permite que os defensores configurem adequadamente as defesas automatizadas e usem as informações para caçar proativamente novas variantes.”
Fonte: TheHackerNews
