Campagna di spionaggio con malware “Voldemort”

I ricercatori di Proofpoint hanno identificato una sofisticata campagna di spionaggio che utilizza un malware personalizzato chiamato “Voldemort“.

Questa campagna ha preso di mira oltre 70 organizzazioni in tutto il mondo, inviando più di 20.000 messaggi di phishing.

Obiettivi

Le e-mail di phishing utilizzate che in questa campagna impersonano le autorità fiscali di vari paesi, tra cui Stati Uniti, Regno Unito, Francia, Germania, Italia (Agenzia delle Entrate), India e Giappone, contengono allegati o link che, una volta aperti, installano il malware “Voldemort” sui dispositivi delle vittime.

Tecniche di attacco

“Voldemort” è una backdoor personalizzata scritta in C progettata principalmente per la raccolta di informazioni sensibili. Una volta installata, può anche distribuire ulteriori payload dannosi (Cobalt Strike) ampliando le sue capacità di spionaggio.

Il malware “Voldemort” si distingue per l’uso di Google Sheets come canale di comando e controllo (C2), una tecnica insolita che rende più difficile il rilevamento. Inoltre, sfrutta il protocollo di ricerca di Windows (search-ms) in modo dannoso per eseguire i suoi comandi.

Cosa accade

Le e-mail di phishing fingono di essere autorità fiscali del paese in cui ha sede l’organizzazione, affermando di avere informazioni fiscali aggiornate. Cliccando sul collegamento presente sui messaggi, i destinatari vengono in realtà indirizzati a una landing page ospitata su InfinityFree, che utilizza gli URL della cache AMP di Google per reindirizzare la vittima a una pagina con un pulsante per la visualizzazione.

Fonte Proofpoint

Quando si fa click sul pulsante, la pagina controlla l’User Agent del browser:

  • Per Windows, reindirizza il target a un URI search-ms (Windows Search Protocol) che punta a un URI in tunnel TryCloudflare. Se la vittima interagisce con il file search-ms, Windows Explorer viene attivato per visualizzre un file LNK camuffato da PDF ospitato su un WebDAV esterno, in modo da apparire come se si trovasse nella cartella Download locale dell’utente
  • Per gli utenti non Windows reindirizza a un URL vuoto di Google Drive.
Fonte Proofpoint

Implicazioni

Sebbene l’obiettivo finale della campagna rimanga poco chiaro, si sospetta che sia mirato allo spionaggio piuttosto che al guadagno finanziario. La sofisticazione delle tecniche utilizzate suggerisce che dietro questa operazione ci sia un attore APT ben organizzato e con risorse significative.

La scoperta di questa campagna di spionaggio sottolinea l’importanza per le organizzazioni di adottare misure di sicurezza avanzate e formare il proprio personale per riconoscere e segnalare tentativi di phishing.

Su Salvatore Lombardo 335 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.