Voldemort Malware: Mi ez és hogyan maradhat biztonságban

Jön egy újabb rosszindulatú programkampány, amely jelentős kockázatokat jelent a szervezetek számára világszerte több szektorban. Ez a kifinomult rosszindulatú program, amelyet a kutatók "Voldemort"-nak neveztek el, olyan váratlan eszközöket használ, mint a Google Sheets, hogy végrehajtsa támadásait, így egyedivé és veszélyessé teszi. Íme, amit tudnod kell a Voldemort Malware-ről, működéséről és a védekezés érdekében megtehető lépésekről.

Mi az a Voldemort Malware?

A Voldemort egy egyedi hátsóajtó-malware, amelyet nemrégiben fedeztek fel kiberbiztonsági szakértők. A hagyományos rosszindulatú programokkal ellentétben a Voldemort a Google Táblázatokat használja parancs- és vezérlő (C2) mechanizmusként, amely lehetővé teszi számára, hogy kommunikáljon kezelőivel és utasításokat kapjon. A rosszindulatú program több mint 70 szervezetet célzott meg különböző iparágakban, beleértve a biztosítási, pénzügyi, egészségügyi, technológiai és kormányzati szektorokat. A Voldemort mögötti kampányról azt gyanítják, hogy egy nagyobb kiberkémkedés része, bár a pontos elkövetőket továbbra sem azonosították.

A Voldemort kártevő különösen aggasztó a rosszindulatú kódok terjesztésének és végrehajtásának szokatlan megközelítése miatt. A különböző országok – köztük az Egyesült Államok, az Egyesült Királyság és Japán – adóhatóságainak megszemélyesítése ráveszi a címzetteket, hogy olyan linkekre kattintsanak, amelyek törvényesnek tűnnek, de valójában egy olyan céloldalra irányítják őket, amelyek célja a rendszerük kihasználása.

Hogyan működik a Voldemort malware?

A támadás adathalász e-mailekkel kezdődik, amelyek állítólag az adóhatóságtól származnak, és figyelmeztetik a címzetteket az adóbevallásukban bekövetkezett változásokra. Ezek az e-mailek linkeket tartalmaznak, amelyekre kattintva egy olyan weboldalra vezetnek, amely meghatározza, hogy az áldozat Windows operációs rendszert használ-e. Ha igen, akkor a weboldal egy PDF-nek álcázott Windows parancsikont használ a támadás indításához.

Miután a felhasználót rávetik a fájl megnyitására, parancsok sorozata indul el. A Windows parancsikonfájlja meghívja a PowerShellt, amely egy távoli kiszolgálóról egy Python-szkriptet futtat. Ez a szkript összegyűjti a rendszerinformációkat, és visszaküldi azokat a támadóknak. Az észlelés elkerülése érdekében a szkript nem tölt le fájlokat közvetlenül az áldozat számítógépére. Ehelyett egy WebDAV-megosztásból tölti be a függőségeket, ez a technika tovább eltakarja a támadást.

A rosszindulatú program ezután egy csali PDF-fájlt jelenít meg a felhasználó számára, hogy fenntartsa a legitimitás illúzióját, miközben egy jelszóval védett ZIP-fájlt tölt le. Ez a ZIP-fájl egy törvényes végrehajtható fájlt tartalmaz, amely sebezhető a DLL oldalsó betöltésével szemben, és egy rosszindulatú DLL-t, amely maga a Voldemort kártevő. A rosszindulatú program ezután kihasználja a Google Táblázatokat adatok kiszűrésére és parancsok végrehajtására.

A támadás jelentősége

A Voldemort malware fejlett és alapvető technikák kombinációja különösen riasztóvá teszi. Kifinomult módszereket alkalmaz, például visszaél a Google Táblázatokkal a C2-hez, miközben egyszerűbb taktikákra hagyatkozik, mint például az adathalászat, és legitim szoftverkomponenseket használ az észlelés elkerülésére. A régi és az új taktikák ilyen keveréke kihívást jelent a kiberbiztonsági szakértők számára, hogy teljes mértékben megértsék a támadók szándékait, vagy megjósolják a következő lépésüket.

A kampány széles körűnek tűnik, az iparágak széles skáláját célozza meg, és potenciálisan széles hálót vet ki, hogy információkat gyűjtsön, mielőtt konkrét, nagy értékű célokra összpontosítana. A kampány részeként több mint 20 000 adathalász e-mail elküldésével a művelet mértéke jelentős, még akkor is, ha a sikeres fertőzések pontos száma továbbra is tisztázatlan.

Hogyan védheti meg magát a Voldemort malware ellen

Noha a Voldemort rosszindulatú program kifinomult, az egyének és szervezetek számos módszert alkalmazhatnak a fertőzés kockázatának csökkentésére:

1. Legyen óvatos az e-mail hivatkozásokkal: Mindig ellenőrizze az e-mailek hitelességét, különösen azokat, amelyekről azt állítják, hogy kormányzati szervektől vagy más tekintélyes szervektől származnak. Kerülje az ismeretlen vagy gyanús forrásból származó linkekre való kattintást.
2. Szoftver frissítése és javítása: Győződjön meg arról, hogy minden szoftver, különösen a biztonsági alkalmazások naprakészek. Ez magában foglalja a javítások alkalmazását az ismert sebezhetőségekre, amelyeket a rosszindulatú programok kihasználhatnak.
3. Az alkalmazottak oktatása és betanítása: Rendszeresen tartson kiberbiztonsági képzést az alkalmazottak számára, hogy felismerjék az adathalász kísérleteket és más gyakori támadási vektorokat.
4. Speciális biztonsági intézkedések végrehajtása: Használjon hatékony fenyegetésészlelő és -válasz eszközöket, amelyek képesek azonosítani és mérsékelni a kifinomult támadásokat, például a Voldemortot érintő támadásokat. A hálózatfigyelő, a végpont-védelem és a behatolásjelző rendszerek elengedhetetlenek.
5. Kritikus adatok biztonsági mentése: Rendszeresen készítsen biztonsági másolatot a fontos adatokról, hogy csökkentse a potenciális rosszindulatú támadások hatását.

Azáltal, hogy tájékozott marad és robusztus kiberbiztonsági gyakorlatokat alkalmaz, a szervezetek megvédhetik magukat a Voldemorthoz hasonló fenyegetésekkel szemben. A kiberfenyegetések helyzete folyamatosan változik, és az éberség kulcsfontosságú ahhoz, hogy megelőzzük a rosszindulatú szereplőket.

Végső gondolatok

A Voldemort rosszindulatú programokkal kapcsolatos kampány határozottan emlékeztet a kiberbűnözők kreativitására és kitartására. A régi és az új technikák kombinálásával a támadók új módszereket találnak a rendszerek feltörésére és érzékeny információk ellopására. A kártevő működésének megértése és proaktív lépések megtétele a rendszerek biztonságossá tétele érdekében kulcsfontosságú az e és a jövőbeli fenyegetések elleni védelemben.