Malware ‘Voldemort’ slaat gebruikersdata op in Google Sheets
Cyberbeveiliger Proofpoint ontdekte een nieuwe malwarecampagne die sinds 5 augustus 2024 actief is. Het malwarepakket, dat de naam ‘Voldemort’ kreeg, wordt verspreid door cybercriminelen die de belastingsdiensten imiteren.
Hoewel de nieuwe malware pas eerder deze maand actief werd, heeft die al een groot aantal slachtoffers kunnen maken. Volgens het rapport van Proofpoint werden er al meer dan 20.000 mails gestuurd naar 70 verschillende organisaties die als doelwit dienen. Op de meest drukke dag werden er 6000 e-mails verstuurd die de malware helpen verspreiden. De doelwitten bevinden zich verspreid over de VS, Azië en Europa. In meeste gevallen gaat het om bedrijven die actief zijn in de verzekeringssector, de transportsector en de luchtvaart, maar ook in het onderwijs.
Wie er precies achter de verspreiding van die malware zit is niet geweten. Het doel lijkt eerst en vooral spionage te zijn: de malware is er namelijk op gericht om bestanden van computers te halen.
Verspreiding
De verspreiding van de malware gebeurt in verschillende stappen: eerst en vooral gaan de aanvallers op zoek naar organisaties die als doelwit kunnen dienen. Ze zoeken op waar die organisaties zich bevinden, en stellen dan een phishingmail op. Die lijkt afkomstig van belastingsdiensten, en bevat steeds dezelfde informatie: er is bijgewerkte info, en die kan je bekijken via een link.
Wie op de link klikt, wordt doorgestuurd naar een webpagina met een “link naar een document”. Als je daarop klikt, controleert de website welk OS je draait. Als dat een Linux- of MacOS-versie is, dan kom je op een lege Google Drive-pagina terecht en gebeurt er verder niets. Staat er Windows op je pc geïnstalleerd? Dan wordt er een .pdf-bestand gedownload dat eigenlijk geen .pdf, maar een .zip- of .lnk-bestand is.
Open je dat bestand? Dan voer je eigenlijk een Python-commando uit, waarmee de hackers informatie verzamelen. Tegelijkertijd wordt er een .pdf geopend, die ervoor zorgt dat alles er betrouwbaar uitziet. Op de achtergrond installeert je pc bovendien betrouwbare software: Cisco Hosted Collaboration Solution (CiscoCollabHost.exe), samen met een configuratiebestand dat door de cybercriminelen in elkaar gezet werd. Dat zorgt ervoor dat de Voldemort-malware uiteindelijk op je pc terecht komt.
Google Sheets
Misschien het meest opmerkelijke aan deze malwarecampagne, is waar de Voldemort-malware instructies vandaan haalt en informatie opslaat: dat gebeurt allemaal via Google Drive. Alle gegevens die gestolen worden, worden meteen in één groot Google Sheets-bestand gezet. Door met Google Sheets te communiceren, ziet de malware er bovendien betrouwbaar uit. Het maakt het ook moeilijker om die volledig te blokkeren. Heel wat bedrijven maken namelijk gebruik van Google Sheets, waardoor die verbindingen niet zomaar geblokkeerd kunnen worden.
In plaats daarvan raadt Proofpoint aan om de ‘TryCloudflare’-dienst te blokkeren. Het is die dienst die Windows-gebruikers naar een malafide URL doorverwijst. Door de dienst te blokkeren wordt dat onmogelijk.
