Špionážna kampaň „Voldemort“ používa doteraz nevídanú techniku, ktorou hackeri komunikujú s infikovaným zariadením

Bezpečnostní experti z Proofpoint postrehli novú kampaň hackerov, ktorú nazvali „Voldemort“. Jej primárnym cieľom je kyberšpionáž.

Hackeri opäť používajú falošnú IT podporu, aby útočili na svoje obete
Zdroj: Vosveteit.sk, AI

Bezpečnosti experti z Proofpoint postrehli novú kampaň hackerov, ktorú pomenovali „Voldemort“. Tento útok dostal pomenovanie podľa interných názvov súborov a reťazcov použitých v malvéri.

Cieľom hackerov je dostať sa do systémom organizácií prakticky naprieč celým svetom, pričom hackeri sa najčastejšie vydávajú za daňové úrady porobiace v USA, Európe a Ázii.

Odoberajte Vosveteit.sk cez Telegram a prihláste sa k odberu správ
hacker kampan voldemord
Zdroj: Vosveteit.sk, AI

Hackeri cielia na organizácie naprieč celým svetom

Podľa reportu expertov na bezpečnosť, hackeri rozoslali od augusta tohto roka viac ako 20-tisíc podvodných e-mailových správ, pričom cielili približne na 70 organizácií. Väčšina inštitúcií, na ktoré sa útočníci sústreďujú, pôsobí v odbore poisťovníctva, dopravy a vzdelávania. Podľa expertov na bezpečnosť cieľom hackerov je vykonať kybernetickú špionáž.

„Od 5. augusta 2024 zahŕňala škodlivá aktivita viac ako 20 000 správ, ktoré ovplyvnili viac ako 70 organizácií na celom svete. Prvá vlna správ zahŕňala niekoľko stoviek správ denne, ale potom sa 17. augusta zvýšila s takmer 6 000 celkovými správami.“, prezrádzajú experti na bezpečnosť.

Tento útok prebieha tak, že útočníci informujú potenciálne obete o rôznych zmenách v ich daňových priznaniach, pričom odkazujú na súvisiace dokumenty. Nebezpečné na tomto útoku je, že každá návnada, ktorej cieľom bolo nalákať obeť, aby interagovala so škodlivým súborom, bola prispôsobená a napísaná v lokálnom jazyku potenciálne obete.

Okrem toho útočníci použili aj verejne dostupné dáta o organizáciách, na ktoré cielili, aby presvedčili obeť, že ide o vierohodnú požiadavku úradu. A hoci e-maily boli odoslané z podozrivých kompromitovaných domén, hacker v e-mailovej adrese uviedol skutočnú doménu daňového úradu.

falosny email z danoveho uradu
Zdroj: proofpoint.com, príklad falošného e-mailu

Akonáhle obeť klikne na odkaz, tak bola vyzvaná, aby stlačila tlačidlo „Kliknutím zobrazíte dokument“. Obeť bola následne presmerovaná na škodlivý dokument, ktorý sa tvári, že ide o lokálny súbor v počítači. V skutočnosti je ale hosťovaný na vzdialenom servery. Potom, ako s ním interaguje, tak sa spustí Prieskumník Windows a zobrazí súbor LNK alebo ZIP maskovaný ako PDF.

falosny dokument ktory sa tvari ako pdf subor
Zdroj: proofpoint.com, príklad falošného .pdf dokumentu

Akonáhle obeť otvorí súbor, tak sa spustí PowerShell, pomocou ktorého útočník načíta skript Python a dôjde k stiahnutiu škodlivého súboru do zariadenia. Ten následne začne zbierať údaje zo systému obete.

Hackeri na ovládania malvéru používajú nezvyčajnú techniku

Fascinujúce na tomto útoku je, že škodlivý softvér „Voldemort“ používa Google na komunikáciu medzi infikovaným zariadením a útočníkom. Malware sa prihlási do služby Google Sheets pomocou autentifikačných údajov a následne dostane príkazy od útočníkov na vykonanie rôznych činností, ako napríklad sťahovanie alebo nahrávanie súborov, spúšťanie príkazov, kopírovanie a mazanie údajov, alebo vypnutie počítača. Ide o pomerne nezvyčajnú a novú techniku, ako útočník ovláda škodlivý vírus v zariadení obete.

Ako sme v úvode už spomínali, tak cieľom tohto útoku je pravdepodobne špionáž a poskytovanie prístupu útočníkom do počítačov napadnutých obetí.

Záverom treba povedať, že experti na bezpečnosť aktuálne nevedia s istotou povedať, aká skupina hackerov stojí za týmto sofistikovaným útokom.

Prihláste sa k odberu správ z Vosveteit.sk cez Google správy

Komentáre