Вредоносное ПО Voldemort: что это такое и как защитить себя

Вот еще одна вредоносная кампания, представляющая значительные риски для организаций в различных секторах по всему миру. Названная исследователями «Волдеморт», эта сложная вредоносная программа использует неожиданные инструменты, такие как Google Таблицы, для выполнения своих атак, что делает ее уникальной и опасной. Вот что вам нужно знать о вредоносной программе Voldemort, как она работает и как вы можете защитить себя.

Что такое вредоносное ПО «Волдеморт»?

Voldemort — это вредоносное ПО с бэкдором, недавно обнаруженное экспертами по кибербезопасности. В отличие от традиционных вредоносных программ, Voldemort использует Google Sheets в качестве механизма управления и контроля (C2), что позволяет ему общаться со своими операторами и получать инструкции. Вредоносное ПО атаковало более 70 организаций в различных отраслях, включая страхование, финансы, здравоохранение, технологии и государственный сектор. Предполагается, что кампания, стоящая за Voldemort, является частью более масштабной кибершпионской кампании, хотя точные виновники остаются неизвестными.

Вредоносная программа Voldemort вызывает особую обеспокоенность из-за ее нетрадиционного подхода к распространению и выполнению вредоносного кода. Выдавая себя за налоговые органы разных стран, включая США, Великобританию и Японию, пользователи обманываются, нажимая на ссылки, которые кажутся законными, но на самом деле перенаправляют их на целевую страницу, разработанную для эксплуатации их систем.

Как работает вредоносное ПО Voldemort?

Атака начинается с фишинговых писем, которые якобы отправляются налоговыми органами и предупреждают получателей об изменениях в их налоговых декларациях. Эти письма содержат ссылки, при нажатии на которые открывается веб-страница, определяющая, использует ли жертва операционную систему Windows. Если да, веб-страница использует файл ярлыка Windows, замаскированный под PDF, для инициирования атаки.

Как только пользователя обманом заставляют открыть этот файл, запускается последовательность команд. Файл ярлыка Windows вызывает PowerShell, который, в свою очередь, запускает скрипт Python с удаленного сервера. Этот скрипт собирает системную информацию и отправляет ее обратно злоумышленникам. Чтобы избежать обнаружения, скрипт не загружает файлы напрямую на компьютер жертвы. Вместо этого он загружает зависимости из общего ресурса WebDAV, что еще больше скрывает атаку.

Затем вредоносная программа отображает пользователю поддельный PDF-файл, чтобы поддерживать иллюзию легитимности, одновременно загружая защищенный паролем ZIP-файл. Этот ZIP-файл содержит легитимный исполняемый файл, уязвимый для боковой загрузки DLL, и вредоносную DLL, которая является самой вредоносной программой Voldemort. Затем вредоносная программа использует Google Sheets для извлечения данных и выполнения команд.

Значение атаки

Сочетание продвинутых и базовых методов вредоносного ПО Voldemort делает его особенно тревожным. Оно использует сложные методы, такие как злоупотребление Google Sheets для связи C2, полагаясь на более простые тактики, такие как фишинг и использование легитимных программных компонентов для уклонения от обнаружения. Такое сочетание старых и новых тактик затрудняет для экспертов по кибербезопасности полное понимание намерений злоумышленников или предсказание их следующего шага.

Кампания, по-видимому, носит широкий характер, нацелена на широкий спектр отраслей и потенциально забрасывает широкую сеть для сбора разведданных, прежде чем сосредоточиться на конкретных высокоценных целях. С более чем 20 000 фишинговых писем, отправленных в рамках этой кампании, масштаб операции значителен, даже если точное число успешных заражений остается неясным.

Как защитить себя от вредоносного ПО Voldemort

Несмотря на то, что вредоносная программа Voldemort является сложной, существует несколько способов, которыми отдельные лица и организации могут воспользоваться для снижения риска заражения:

1. Будьте осторожны со ссылками в электронных письмах: Всегда проверяйте подлинность электронных писем, особенно тех, которые якобы исходят от государственных учреждений или других авторитетных органов. Избегайте перехода по ссылкам из неизвестных или подозрительных источников.
2. Обновление и исправление ПО: убедитесь, что все ПО, особенно приложения безопасности, обновлены. Это включает применение исправлений для известных уязвимостей, которые могут быть использованы вредоносным ПО.
3. Обучайте и тренируйте сотрудников: регулярно проводите обучение по кибербезопасности для сотрудников, чтобы они могли распознавать попытки фишинга и другие распространенные векторы атак.
4. Внедрите расширенные меры безопасности: используйте мощные инструменты обнаружения и реагирования на угрозы, которые могут идентифицировать и смягчить сложные атаки, такие как атаки с участием Волан-де-Морта. Системы мониторинга сети, защиты конечных точек и обнаружения вторжений имеют важное значение.
5. Резервное копирование критически важных данных: регулярно создавайте резервные копии важных данных, чтобы снизить воздействие потенциальной атаки вредоносного ПО.

Оставаясь в курсе событий и внедряя надежные методы кибербезопасности, организации могут защитить себя от таких угроз, как Волан-де-Морт. Ландшафт киберугроз постоянно меняется, и бдительность является ключом к опережению злоумышленников.

Заключительные мысли

Кампания вредоносного ПО Voldemort — яркое напоминание о креативности и настойчивости киберпреступников. Объединяя старые и новые методы, злоумышленники находят новые способы взлома систем и кражи конфиденциальной информации. Понимание того, как работает это вредоносное ПО, и принятие упреждающих мер по защите систем имеет решающее значение для защиты от этой и будущих угроз.