Investigadores de ciberseguridad han descubierto una nueva campaña de malware que utiliza Google Sheets como mecanismo de comando y control (C2).
actividad, detectado por Proofpoint a partir del 5 de agosto de 2024, se hace pasar por autoridades fiscales gubernamentales en Europa, Asia y Estados Unidos, con el objetivo de apuntar a más de 70 organizaciones en todo el mundo utilizando una herramienta en medida llamada Voldemort, equipada para recopilar información y entregar cargas útiles adicionales.
Los sectores objetivo incluyen seguros, aeroespacial, transporte, academia, finanzas, tecnología, manufactura, atención médica, automoción, hotelería, energía, gobierno, medios, manufactura, telecomunicaciones y organizaciones sociales.
La supuesta campaña de ciberespionaje no ha sido atribuida a ningún actor malicioso identificado. Como parte de estos ataques se enviaron no menos de 20.000 mensajes electrónicos.
Estos correos electrónicos afirman provenir de autoridades tributarias de Estados Unidos, Reino Unido, Francia, Alemania, Italia, India y Japón, alertando a los destinatarios sobre cambios en sus declaraciones de impuestos e instándolos a hacer clic en las URL de Google AMP Cache que redirigen a los usuarios a un intermediario. página de destino.
Lo que hace la página es inspeccionar el Cadena de agente de usuario para determinar si el sistema operativo es Windows y, de ser así, aprovechar el controlador de protocolo search-ms:URI para mostrar un archivo de acceso directo de Windows (LNK) que utiliza Adobe Acrobat Reader para hacerse pasar por un archivo PDF con el fin de engañar a la víctima para que lo inicie. .
«Si se ejecuta LNK, invocará PowerShell para ejecutar Python.exe desde un tercer recurso compartido WebDAV en el mismo túnel (\library\), pasando un script de Python en un cuarto recurso compartido (\resource\) en el mismo host que un argumento”, dijeron los investigadores de Proofpoint Tommy Madjar, Pim Trouerbach y Selena Larson.
“Esto obliga a Python a ejecutar el script sin descargar ningún archivo a la computadora, con las dependencias cargadas directamente desde el recurso compartido WebDAV. »
El script Python está diseñado para recopilar información del sistema y enviar los datos como una cadena codificada en Base64 a un dominio controlado por el actor, después de lo cual muestra un PDF señuelo al usuario y descarga un archivo ZIP protegido con contraseña desde OpenDrive.
El archivo ZIP, por otro lado, contiene dos archivos, un ejecutable legítimo «CiscoCollabHost.exe» que es susceptible de carga lateral mediante DLL y un archivo DLL malicioso «CiscoSparkLauncher.dll» (es decir, Voldemort) que se carga lateralmente.
Voldemort es una puerta trasera personalizada escrita en C que proporciona capacidades de carga útil y recopilación de información de la siguiente etapa, malware que utiliza Google Sheets para C2, exfiltración de datos y ejecución de comandos de operador.
Proofpoint describió la actividad como relacionada con amenazas persistentes avanzadas (APT), pero con «vibraciones de cibercrimen» debido al uso de técnicas populares en el panorama del cibercrimen.
“Los actores maliciosos abusan de los URI de esquema de archivos para acceder a recursos externos para compartir archivos y preparar malware, en particular WebDAV y Server Message Block (SMB). Esto se hace utilizando el esquema ‘file://’ y apuntando a un servidor remoto que aloja el contenido malicioso”, dijeron los investigadores.
Este enfoque es cada vez más común entre las familias de malware que actúan como intermediarios de acceso inicial (IAB), como Latrodectus, DarkGate y XWorm.
Además, Proofpoint dijo que pudo leer el contenido de Google Sheet, identificando un total de seis víctimas, incluida una que era un sandbox o un «investigador conocido».
La campaña fue descrita como inusual, sugiriendo que los actores de la amenaza lanzaron una amplia red antes de centrarse en un pequeño número de objetivos. También es posible que los atacantes, probablemente con distintos niveles de experiencia técnica, planearan infectar varias organizaciones.
«Aunque muchas características de la campaña son consistentes con la actividad de amenaza cibercriminal, creemos que es probable que se trate de una actividad de espionaje realizada para apoyar objetivos finales aún desconocidos», dijeron los investigadores.
“La amalgama frankensteiniana de capacidades inteligentes y sofisticadas, junto con técnicas y funcionalidades muy básicas, dificulta evaluar el nivel de capacidad del actor de amenazas y determinar con gran confianza los objetivos finales de la campaña. »
Este desarrollo se produce cuando Netskope Threat Labs descubrió una versión actualizada de Latrodectus (versión 1.4) que viene con un nuevo punto final C2 y agrega dos nuevos comandos de puerta trasera que le permiten descargar shellcode desde un servidor específico y recuperar archivos arbitrarios desde una ubicación remota.
«Latrodectus evolucionó bastante rápido, añadiendo nuevas funciones a su carga útil», explica el investigador de seguridad Leandro Fróes. dicho«Comprender las actualizaciones aplicadas a su carga útil permite a los defensores mantener los canales automatizados configurados correctamente y utilizar la información para buscar nuevas variantes». »
