Voldemort-Malware nutzt Google Sheets in weltweiter Kampagne

Seit dem 5. August 2024 wurden bereits mehr als 20.000 Phishing-E-Mails an über 70 Organisationen weltweit registriert, wovon allein 6.000 an nur einem einzigen Tag verschickt wurden. Die Ziele der Cyberkriminellen stammen dabei aus unterschiedlichen Branchen wie beispielsweise dem Versicherungswesen, der Luftfahrt, der Transportindustrie oder der Lehre, wie Sicherheitsforscher von Proofpoint berichten.

‍Die Hintermänner der Voldemort-Kampagne setzen laut Proofpoint eine komplexe Angriffskette ein, die sowohl gängige als auch eher ungewöhnliche Techniken kombiniert, wie die Verwendung von Google Sheets für Command-and-Control-Operationen (C2). Am Anfang der Attacke stehen Phishing-E-Mails, die scheinbar von legitimen Steuerbehörden stammen. Diese E-Mails enthalten Links, die den Empfänger zu einer auf InfinityFree gehosteten Landing Page oder direkt zu einer bösartigen Datei führen. Klickt das Opfer dort auf die Schaltfläche „View Document“ wird der Benutzeragent des Browsers überprüft. Handelt es sich um einen Windows-Rechner, wird der Benutzer zu einer search-ms URI umgeleitet, die den Windows Explorer unbemerkt dazu auffordert, eine Verknüpfungsdatei (LNK) oder eine als PDF getarnte ZIP-Datei anzuzeigen. Wenn das Opfer die LNK-Datei ausführt, löst dies eine Reihe von Aktionen aus, die zum Download der Voldemort-Malware führen.

‍Bei Voldemort handelt es sich um eine Backdoor, die in der Programmiersprache C geschrieben wurde und über fortschrittliche Funktionen zum Sammeln von Informationen verfügt. Sie nutzt CiscoCollabHost.exe, eine legitime ausführbare Datei, die jedoch für DLL-Hijacking anfällig ist, um die bösartige DLL zu laden. Die Malware kommuniziert dann mit ihrem Command-and-Control-Server (C2) über Google Sheets, wo sie Befehle wie das Herunterladen von Dateien, das Starten von Programmen und mehr ausführen kann. Voldemort verwendet außerdem eine einzigartige Methode zur Entschlüsselung von Zeichenketten und ruft dynamisch APIs auf. Diese Techniken sind auch häufig in ausgefeilteren Bedrohungen wie Cobalt Strike zu finden.

Einmal eingedrungen, ist die Malware in der Lage, Systeminformationen zu sammeln, Dateien hochzuladen und zusätzliche Befehle von einem C2-Server auszuführen. Darüber hinaus ermöglicht die Nutzung von Cloudflare-Tunneln – insbesondere der TryCloudflare-Funktion – den Angreifern die Erstellung von einmaligen Tunneln, ohne dass dafür ein Konto erforderlich ist.

Bislang ist es den Sicherheitsforschern von Proofpoint nicht gelungen, die Kampagne einer bekannten Gruppierung zuzuordnen, da die Nutzung von fortschrittlichen Spionagetechniken in Kombination mit herkömmlicheren kriminellen Vorgehensweisen die Identifikation der Angreifer erschwert. Es besteht allerdings der begründete Verdacht, dass es sich um eine Advanced-Persistent-Threat-Gruppierung (APT) handeln könnte.