Зловредная кампания, получившая название "Волдеморт", нацелена на организации по всему миру, маскируясь под налоговые службы из Европы, Азии и США.
Эта сложная кибератака затронула десятки организаций по всему миру, при этом с 5 августа было зафиксировано более 20 000 фишинговых сообщений. Вредоносное ПО, являющееся специально разработанной программой на языке C, предназначено для кражи данных и загрузки дополнительных вредоносных файлов.
Атака использует Google Sheets для управления и контроля (C2) и файлы, зараженные вредоносным протоколом поиска Windows. После того как жертва загружает вредоносное ПО, оно использует легитимное ПО WebEx для загрузки DLL, который затем связывается с сервером C2.
Маскировка под налоговые органы
Исследователи отметили, что кампания резко активизировалась 17 августа, когда за один день было отправлено около 6 000 фишинговых писем, которые в основном имитировали налоговые службы. Среди них были Налоговое управление США (IRS), Налоговая и таможенная служба Великобритании (HMRC) и Главное управление публичных финансов Франции. Каждое из писем было составлено на языке, используемом соответствующим налоговым органом, что придавало фишинговым сообщениям дополнительную достоверность.
Эти письма, отправленные со скомпрометированных доменов, использовали подлинные доменные имена налоговых служб для усиления своей правдоподобности. Хотя конечные цели этой кампании пока неясны, эксперты также считают, что, учитывая возможности "Волдеморта" по сбору разведывательной информации и загрузке дополнительных вредоносных программ, она, скорее всего, также направлена на шпионаж.
Уязвимость пользователей Google
Организации, использующие экосистему Google, подвергаются большему риску заражения "Волдемортом", так как их платформы могут быть в списке разрешенных. Для противодействия атакам "Волдеморта" рекомендуется отслеживать трафик по определенным индикаторам компрометации, установить многофакторную аутентификацию (MFA), регулярно обновлять и проверять использование протоколов аутентификации электронной почты, таких как DMARC, SPF и DKIM, а также сертификатов S/MIME для подтверждения легитимности отправителей писем внутри организации.