Pesquisadores de cibersegurança descobriram uma nova campanha de malware que utiliza o Google Sheets como um mecanismo de command-and-control (C2).
A atividade, detectada pela Proofpoint a partir de 5 de agosto de 2024, faz-se passar por autoridades fiscais de governos na Europa, Ásia e EUA, com o objetivo de mirar em mais de 70 organizações mundialmente por meio de uma ferramenta sob medida chamada Voldemort, equipada para coletar informações e entregar payloads adicionais.
Os setores visados incluem seguro, aeroespacial, transporte, academia, finanças, tecnologia, industrial, saúde, automotivo, hospitalidade, energia, governo, mídia, manufatura, telecomunicações e organizações de benefícios sociais.
A suspeita campanha de ciberespionagem não foi atribuída a nenhum ator de ameaça específico nomeado.
Até 20.000 mensagens de email foram enviadas como parte dos ataques.
Esses e-mails afirmam ser de autoridades fiscais nos EUA, Reino Unido, França, Alemanha, Itália, Índia e Japão, alertando os destinatários sobre mudanças nas suas declarações fiscais e instando-os a clicar em URLs do Google AMP Cache que redirecionam os usuários para uma página intermediária.
O que a página faz é inspecionar a string do User-Agent para determinar se o sistema operacional é Windows, e se for, aproveitar o protocolo de manipulador de URI search-ms: para mostrar um arquivo de atalho do Windows (LNK) que utiliza um Adobe Acrobat Reader para se passar por um arquivo PDF numa tentativa de enganar a vítima para lançá-lo.
"Se o LNK for executado, ele invocará o PowerShell para executar Python.exe de um terceiro compartilhamento WebDAV no mesmo túnel (\library\), passando um script Python em um quarto compartilhamento (\resource\) no mesmo host como um argumento," disseram os pesquisadores da Proofpoint Tommy Madjar, Pim Trouerbach e Selena Larson.
Isso faz com que o Python execute o script sem baixar arquivos para o computador, com as dependências sendo carregadas diretamente do compartilhamento WebDAV.
O script Python é projetado para coletar informações do sistema e enviar os dados na forma de uma string codificada em Base64 para um domínio controlado pelo ator, após o qual mostra um PDF fictício para o usuário e baixa um arquivo ZIP protegido por senha do OpenDrive.
O arquivo ZIP, por sua vez, contém dois arquivos, um executável legítimo "CiscoCollabHost.exe" que é suscetível a loading lateral de DLL e uma DLL maliciosa "CiscoSparkLauncher.dll" (ou seja, Voldemort) que é carregada lateralmente.
Voldemort é um backdoor customizado escrito em C que vem com capacidades para coleta de informações e carregamento de payloads de próxima fase, com o malware utilizando Google Sheets para C2, exfiltração de dados e execução de comandos dos operadores.
A Proofpoint descreveu a atividade como alinhada a ameaças persistentes avançadas (APT) mas carregando "vibrações de cibercrime" devido ao uso de técnicas populares no cenário de e-crime.
"Ataques abusam de URIs de esquema de arquivo para acessar recursos externos de compartilhamento de arquivos para staging de malware, especificamente WebDAV e Server Message Block (SMB). Isso é feito usando o esquema 'file://' e apontando para um servidor remoto hospedando o conteúdo malicioso," disseram os pesquisadores.
Essa abordagem tem sido cada vez mais prevalente entre famílias de malware que atuam como corretores de acesso inicial (IABs), tais como Latrodectus, DarkGate e XWorm.
Além disso, a Proofpoint disse que foi capaz de ler o conteúdo da Planilha Google, identificando um total de seis vítimas, incluindo uma que acredita-se ser ou um sandbox ou um "pesquisador conhecido."
A campanha foi marcada como incomum, levantando a possibilidade de que os atores de ameaças lançaram uma ampla rede antes de se concentrarem em um pequeno grupo de alvos.
Também é possível que os atacantes, provavelmente com níveis variados de expertise técnica, planejaram infectar várias organizações.
"Enquanto muitas das características da campanha se alinham com atividades de ameaças cibercriminosas, avaliamos que isso é provavelmente uma atividade de espionagem conduzida para apoiar objetivos finais ainda desconhecidos," disseram os pesquisadores.
A amalgamação Frankensteiniana de capacidades inteligentes e sofisticadas, emparelhadas com técnicas e funcionalidades muito básicas, torna difícil avaliar o nível da capacidade do ator de ameaça e determinar com alta confiança os objetivos finais da campanha.
O desenvolvimento ocorre no momento em que a Netskope Threat Labs descobriu uma versão atualizada do Latrodectus (versão 1.4) que vem com um novo ponto final de C2 e adiciona dois novos comandos de backdoor que permitem baixar shellcode de um servidor especificado e recuperar arquivos arbitrários de um local remoto.
"O Latrodectus tem evoluído bem rápido, adicionando novos recursos ao seu payload," disse o pesquisador de segurança Leandro Fróes.
A compreensão das atualizações aplicadas ao seu payload permite que os defensores mantenham pipelines automatizados adequadamente configurados, bem como usem a informação para mais buscas por novas variantes.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...