Malware Voldemort: czym jest i jak zachować bezpieczeństwo

Oto kolejna kampania malware, stwarzająca poważne ryzyko dla organizacji w wielu sektorach na całym świecie. Nazwany przez badaczy „Voldemort”, ten wyrafinowany malware wykorzystuje nieoczekiwane narzędzia, takie jak Arkusze Google, do wykonywania ataków, co czyni go wyjątkowym i niebezpiecznym. Oto, co musisz wiedzieć o złośliwym oprogramowaniu Voldemort, jak ono działa i jakie kroki możesz podjąć, aby się chronić.

Czym jest złośliwe oprogramowanie Voldemort?

Voldemort to niestandardowe złośliwe oprogramowanie typu backdoor, niedawno odkryte przez ekspertów ds. cyberbezpieczeństwa. W przeciwieństwie do tradycyjnego złośliwego oprogramowania, Voldemort używa Arkuszy Google jako mechanizmu dowodzenia i kontroli (C2), co umożliwia mu komunikowanie się z operatorami i otrzymywanie instrukcji. Złośliwe oprogramowanie zaatakowało ponad 70 organizacji z różnych branż, w tym sektorów ubezpieczeń, finansów, opieki zdrowotnej, technologii i rządu. Podejrzewa się, że kampania stojąca za Voldemortem jest częścią większego wysiłku cybernetycznego szpiegostwa, chociaż dokładni sprawcy pozostają niezidentyfikowani.

Oprogramowanie złośliwe Voldemort jest szczególnie niepokojące ze względu na niekonwencjonalne podejście do rozprzestrzeniania i wykonywania złośliwego kodu. Podszywanie się pod organy podatkowe z różnych krajów — w tym USA, Wielkiej Brytanii i Japonii — oszukuje odbiorców, aby klikali linki, które wydają się legalne, ale w rzeczywistości przekierowują ich na stronę docelową zaprojektowaną w celu wykorzystania ich systemów.

Jak działa złośliwe oprogramowanie Voldemort?

Atak rozpoczyna się od wiadomości e-mail phishing, które rzekomo pochodzą od organów podatkowych i ostrzegają odbiorców o zmianach w zeznaniach podatkowych. Wiadomości te zawierają linki, które po kliknięciu prowadzą do strony internetowej, która ustala, czy ofiara korzysta z systemu operacyjnego Windows. Jeśli tak, strona internetowa używa pliku skrótu Windows zamaskowanego jako plik PDF, aby zainicjować atak.

Gdy użytkownik zostanie oszukany i otworzy ten plik, uruchamiana jest sekwencja poleceń. Plik skrótu Windows wywołuje program PowerShell, który z kolei uruchamia skrypt Pythona ze zdalnego serwera. Ten skrypt zbiera informacje o systemie i odsyła je atakującym. Aby uniknąć wykrycia, skrypt nie pobiera żadnych plików bezpośrednio na komputer ofiary. Zamiast tego ładuje zależności z udziału WebDAV, co jest techniką, która jeszcze bardziej zaciemnia atak.

Następnie złośliwe oprogramowanie wyświetla użytkownikowi plik PDF-a-pułapkę, aby utrzymać iluzję legalności, jednocześnie pobierając plik ZIP chroniony hasłem. Ten plik ZIP zawiera legalny plik wykonywalny podatny na boczne ładowanie DLL i złośliwy plik DLL, który jest samym złośliwym oprogramowaniem Voldemort. Następnie złośliwe oprogramowanie wykorzystuje Arkusze Google do eksfiltracji danych i wykonywania poleceń.

Znaczenie ataku

Połączenie zaawansowanych i podstawowych technik w oprogramowaniu Voldemort sprawia, że jest ono szczególnie alarmujące. Wykorzystuje wyrafinowane metody, takie jak nadużywanie Arkuszy Google do komunikacji C2, jednocześnie polegając na prostszych taktykach, takich jak phishing i używanie legalnych komponentów oprogramowania, aby uniknąć wykrycia. Ta mieszanka starych i nowych taktyk sprawia, że ekspertom ds. cyberbezpieczeństwa trudno jest w pełni zrozumieć intencje atakujących lub przewidzieć ich następny ruch.

Kampania wydaje się być szeroka, obejmując szeroki zakres branż i potencjalnie rzucając szeroką sieć w celu zebrania informacji wywiadowczych przed skupieniem się na konkretnych celach o wysokiej wartości. Biorąc pod uwagę ponad 20 000 wiadomości phishingowych wysłanych w ramach tej kampanii, skala operacji jest znacząca, nawet jeśli dokładna liczba udanych infekcji pozostaje niejasna.

Jak chronić się przed złośliwym oprogramowaniem Voldemort

Mimo że złośliwe oprogramowanie Voldemort jest skomplikowane, osoby prywatne i organizacje mogą skorzystać z kilku sposobów, aby zmniejszyć ryzyko infekcji:

1. Zachowaj ostrożność w przypadku linków e-mail: Zawsze weryfikuj autentyczność e-maili, zwłaszcza tych, które rzekomo pochodzą od agencji rządowych lub innych organów autorytatywnych. Unikaj klikania linków z nieznanych lub podejrzanych źródeł.
2. Aktualizuj i łataj oprogramowanie: Upewnij się, że całe oprogramowanie, w szczególności aplikacje zabezpieczające, jest aktualne. Obejmuje to stosowanie poprawek znanych luk, które może wykorzystać złośliwe oprogramowanie.
3. Edukacja i szkolenie pracowników: Przeprowadzaj regularne szkolenia z zakresu cyberbezpieczeństwa dla pracowników, aby mogli rozpoznawać próby phishingu i inne typowe wektory ataków.
4. Wdrażaj zaawansowane środki bezpieczeństwa: Używaj potężnych narzędzi do wykrywania i reagowania na zagrożenia, które mogą identyfikować i łagodzić wyrafinowane ataki, takie jak te z udziałem Voldemorta. Monitorowanie sieci, ochrona punktów końcowych i systemy wykrywania włamań są niezbędne.
5. Twórz kopie zapasowe ważnych danych: Regularnie twórz kopie zapasowe ważnych danych, aby ograniczyć skutki potencjalnego ataku złośliwego oprogramowania.

Dzięki pozostawaniu poinformowanym i przyjmowaniu solidnych praktyk cyberbezpieczeństwa organizacje mogą bronić się przed zagrożeniami takimi jak Voldemort. Krajobraz cyberzagrożeń nieustannie się zmienia, a czujność jest kluczem do wyprzedzania złośliwych aktorów.

Ostatnie przemyślenia

Kampania złośliwego oprogramowania Voldemort jest jaskrawym przypomnieniem kreatywności i wytrwałości cyberprzestępców. Łącząc stare i nowe techniki, atakujący znajdują nowe sposoby na włamanie się do systemów i kradzież poufnych informacji. Zrozumienie, jak działa to złośliwe oprogramowanie i podejmowanie proaktywnych kroków w celu zabezpieczenia systemów jest kluczowe w ochronie przed tym i przyszłymi zagrożeniami.