Voldemort-Malware nutzt Google Sheets in weltweiter Kampagne

Lord Voldemort, oder „der, dessen Name nicht genannt werden darf“, verbreitet im Harry-Potter-Universum Angst und Schrecken. Nun gibt es auch in der realen Welt einen Grund, sich vor Voldemort zu fürchten, denn eine Malware mit diesem Namen verbreitet sich derzeit weltweit in einer groß angelegten Phishing-Kampagne.

Seit dem 5. August 2024 wurden bereits mehr als 20.000 Phishing-E-Mails an über 70 Organisationen weltweit registriert, wovon allein 6.000 an nur einem einzigen Tag verschickt wurden. Die Ziele der Cyberkriminellen stammen dabei aus unterschiedlichen Branchen wie beispielsweise dem Versicherungswesen, der Luftfahrt, der Transportindustrie oder der Lehre, wie Sicherheitsforscher von Proofpoint berichten.

‍Die Hintermänner der Voldemort-Kampagne setzen laut Proofpoint eine komplexe Angriffskette ein, die sowohl gängige als auch eher ungewöhnliche Techniken kombiniert, wie die Verwendung von Google Sheets für Command-and-Control-Operationen (C2). Am Anfang der Attacke stehen Phishing-E-Mails, die scheinbar von legitimen Steuerbehörden stammen. Diese E-Mails enthalten Links, die den Empfänger zu einer auf InfinityFree gehosteten Landing Page oder direkt zu einer bösartigen Datei führen. Klickt das Opfer dort auf die Schaltfläche „View Document“ wird der Benutzeragent des Browsers überprüft. Handelt es sich um einen Windows-Rechner, wird der Benutzer zu einer search-ms URI umgeleitet, die den Windows Explorer unbemerkt dazu auffordert, eine Verknüpfungsdatei (LNK) oder eine als PDF getarnte ZIP-Datei anzuzeigen. Wenn das Opfer die LNK-Datei ausführt, löst dies eine Reihe von Aktionen aus, die zum Download der Voldemort-Malware führen.

‍Bei Voldemort handelt es sich um eine Backdoor, die in der Programmiersprache C geschrieben wurde und über fortschrittliche Funktionen zum Sammeln von Informationen verfügt. Sie nutzt CiscoCollabHost.exe, eine legitime ausführbare Datei, die jedoch für DLL-Hijacking anfällig ist, um die bösartige DLL zu laden. Die Malware kommuniziert dann mit ihrem Command-and-Control-Server (C2) über Google Sheets, wo sie Befehle wie das Herunterladen von Dateien, das Starten von Programmen und mehr ausführen kann. Voldemort verwendet außerdem eine einzigartige Methode zur Entschlüsselung von Zeichenketten und ruft dynamisch APIs auf. Diese Techniken sind auch häufig in ausgefeilteren Bedrohungen wie Cobalt Strike zu finden.

Einmal eingedrungen, ist die Malware in der Lage, Systeminformationen zu sammeln, Dateien hochzuladen und zusätzliche Befehle von einem C2-Server auszuführen. Darüber hinaus ermöglicht die Nutzung von Cloudflare-Tunneln – insbesondere der TryCloudflare-Funktion – den Angreifern die Erstellung von einmaligen Tunneln, ohne dass dafür ein Konto erforderlich ist.

Bislang ist es den Sicherheitsforschern von Proofpoint nicht gelungen, die Kampagne einer bekannten Gruppierung zuzuordnen, da die Nutzung von fortschrittlichen Spionagetechniken in Kombination mit herkömmlicheren kriminellen Vorgehensweisen die Identifikation der Angreifer erschwert. Es besteht allerdings der begründete Verdacht, dass es sich um eine Advanced-Persistent-Threat-Gruppierung (APT) handeln könnte.

Über die 8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 18 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Julia Olmscheid
Head of Communications
Telefon: +49 (6321) 484460
E-Mail: redaktion@8com.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel