Сообщается, что новая вредоносная кампания сеет хаос на тысячах систем Windows по всему миру. Недокументированный бэкдор под названием «Волдеморт» нацелен на организации, выдавая себя за налоговые органы из стран Северной Америки, Европы и Азии. Согласно недавнему отчету Proofpoint, кампания началась в прошлом месяце и отправила более 20 000 писем, нацеленных на более чем 70 организаций с […]
Сообщается, что новая конкурентная кампания наблюдает хаос на тысячах систем Windows по всему миру. Недокументированный бэкдор под названием «Волдеморт» атакует организации, позволяя себе за налоговые органы стран Северной Америки, Европы и Азии.
Согласно недавнему отчету Proofpoint , кампания началась в прошлом месяце и отправила более 20 000 писем, ориентированных на более чем 70 организаций, половина из которых относится к таким секторам, как аэрокосмическая промышленность, здравоохранение, образование и транспорт. На пиковые кампании было отправлено более 6 000 писем за один день.
Хотя личность злоумышленника, стоящего за кампанией, пока неизвестна, видно, что их главной целью является кибершпионаж.
Как действует Волан-де-Морт?
По данным Proofpoint , злоумышленники начинают с фишинга писем в организации, используя ее общедоступную информацию. В зависимости от географических положений, электронное письмо выдает себе налоговые органы этой страны со ссылками, которые перенаправляют их на обновленную налоговую информацию.
Когда пользователи нажимают на ссылку, получатели перенаправляются на целевую страницу, размещенную на «InfinityFree», которая использует URL-адрес кэша Google AMP для перенаправления жертвы на новую страницу с помощью кнопки «Нажмите, чтобы просмотреть документ».
Если жертва использует Windows, конкурентная программа затем просит пользователей загрузить скрытый файл LNK, который маскируется под поддельным PDF-файлом со стрелкой на левом пульте управления. Для тех, кто задается вопросом, файлы LNK — это ярлыки для доступа к файлам, папкам и веб-сайтам.
Вот как выглядит поддельный PDF-файл. (Источник изображения: Proofpoint)
При открытии поддельного PDF-файла показывается скрипт Python, который скрывает свою фоновую активность, отображая PDF-документ, после чего скрипт загружает лидирующую DLL-библиотеку для загрузки Волан-де-Морта в память.
После того, как Волан-де-Морт заражает машину, он использует Google Sheets в качестве сервера команд и управления для получения новых команд и хранения украденных данных. Вредоносная программа даже использует Google API для взаимодействия с Google Sheets через зашифрованный канал, что еще больше затрудняет ее обнаружение или отметку инструментами безопасности.
Он даже показывает пользователю поддельный PDF-файл. (Источник изображения: Proofpoint)
Как защитить себя от Волан-де-Морта?
Поскольку это вредоносное ПО без файлов, ваш антивирус может ничего не поймать, поэтому если вы случайно откроете файл, лучше всего выполнить чистую установку Windows. В качестве альтернативы Proofpoint рекомендует ограничить доступ к внешним службам обмена файлами, заблокировать подключения к TryCloudflare, если они вам не нужны, или отслеживать PowerShell на предмет подозрительной активности.