Более 70 организаций по всему миру, работающих в разных отраслях, уже пострадали от нового типа вредоносного ПО под названием «Волдеморт». Кибербезопасные исследователи из Proofpoint обнаружили эту новую кампанию и провели углубленный анализ.
Исследователи не уверены, кто стоит за этой кампанией, так как её действия — это «Франкенштейновский сплав умных и сложных возможностей», одновременно являясь весьма простыми в плане техники и функциональности.
Тем не менее, в киберпреступном мире всё чаще используются такие методики.
### Простой черный ход
Техники атаки начинаются с привычного — фишинга. На прошлой неделе было отправлено более 20 000 электронных писем, нацеленных на страховые компании, аэрокосмические фирмы, организации в сфере транспорта и университеты. Эти письма содержат обсуждения (не)уплаченных налогов и включают вложения. После загрузки этих файлов требуется выполнить несколько шагов, но в итоге злоумышленники внедряют CiscoSparkLauncher.dll, уязвимую DLL, которую можно использовать для установки Волдеморта.
Черный ход может выполнять две простые задачи — красть конфиденциальные данные и загружать дополнительные полезные нагрузки. Отличительной чертой является отсутствие сервера команд и управления (C2), вместо этого используется файл Google Sheets для получения команд и извлечения информации.
«Интересно, что злоумышленник применил несколько техник, которые становятся все более популярными среди киберпреступников, что, в дополнение к объемам и мишеням, более характерным для киберпреступных кампаний, является необычным,» отмечают исследователи. «Хотя приманки в кампании более типичны для криминальных угроз, функции, включенные в черный ход, больше похожи на те, что часто используются в шпионских инструментах.»
Поскольку исследователи не смогли приписать эту кампанию конкретному актору, они также не смогли определить конечные цели.
Источник: TechRadar
