Hackers anônimos estão utilizando o Google Sheets como uma ferramenta de comando e controle (C2) para gerenciar malware em uma campanha que pode estar ligada à espionagem.
A campanha, detectada recentemente, visa organizações em vários setores, enviando e-mails que se passam por autoridades fiscais de diversos países. Ao clicar em links aparentemente legítimos, as vítimas acabam ativando o malware, que coleta informações e as envia de volta para os hackers, usando o Google Sheets para se comunicar de forma disfarçada e difícil de detectar.
A atividade, detectada pelos Pesquisadores de cibersegurança da Proofpoint a partir de 5 de agosto de 2024, finge ser autoridades fiscais de governos da Europa, Ásia e Estados Unidos, visando mais de 70 organizações em todo o mundo com uma ferramenta personalizada chamada Voldemort. Essa ferramenta é projetada para coletar informações e entregar cargas adicionais de malware.
Os setores-alvo incluem seguros, aeroespacial, transporte, academia, finanças, tecnologia, industrial, saúde, automotivo, hospitalidade, energia, governo, mídia, manufatura, telecomunicações e organizações de benefícios sociais.
A campanha de ciberespionagem ainda não foi atribuída a um ator de ameaça específico. Cerca de 20.000 mensagens de e-mail foram enviadas como parte dos ataques.
Esses e-mails fingem ser de autoridades fiscais dos EUA, Reino Unido, França, Alemanha, Itália, Índia e Japão, alertando os destinatários sobre mudanças em suas declarações fiscais e os incentivando a clicar em URLs do Google AMP Cache, que redirecionam os usuários para uma página intermediária.
Essa página verifica se o sistema operacional é Windows e, se for, usa o protocolo de manipulação de URI search-ms: para exibir um arquivo de atalho do Windows (LNK) que se disfarça como um arquivo PDF do Adobe Acrobat Reader, tentando enganar a vítima para que o execute.
Se o LNK for executado, ele aciona o PowerShell para rodar Python.exe de um terceiro compartilhamento WebDAV no mesmo túnel, passando um script Python em um quarto compartilhamento no mesmo host como argumento.
Isso faz com que o Python execute o script sem baixar nenhum arquivo para o computador, com as dependências sendo carregadas diretamente do compartilhamento WebDAV.
O script Python é projetado para coletar informações do sistema e enviar os dados na forma de uma string codificada em Base64 para um domínio controlado pelos atacantes. Depois, ele mostra um PDF falso para o usuário e baixa um arquivo ZIP protegido por senha do OpenDrive.
Esse arquivo ZIP contém dois arquivos: um executável legítimo, “CiscoCollabHost.exe”, que é vulnerável a carregamento lateral de DLL, e uma DLL maliciosa “CiscoSparkLauncher.dll” (chamada Voldemort), que é carregada junto.
Voldemort é uma backdoor personalizada escrita em C com capacidades de coleta de informações e carregamento de cargas subsequentes. O malware utiliza o Google Sheets para controle C2, exfiltração de dados e execução de comandos dos operadores.
A Proofpoint descreveu a atividade como alinhada a ameaças persistentes avançadas (APT), mas com características de crimes cibernéticos devido ao uso de técnicas populares nesse ambiente.
Os atores da ameaça abusam de URIs de esquema de arquivos para acessar recursos de compartilhamento de arquivos externos para preparação de malware, especificamente WebDAV e SMB. Isso é feito usando o esquema “file://” e apontando para um servidor remoto que hospeda o conteúdo malicioso.
Essa abordagem tem sido cada vez mais prevalente entre famílias de malware que atuam como corretores de acesso inicial, como Latrodectus, DarkGate e XWorm.
Além disso, a Proofpoint conseguiu ler o conteúdo da planilha do Google, identificando um total de seis vítimas, incluindo uma que se acredita ser um ambiente de teste ou um “pesquisador conhecido”.
A campanha foi considerada incomum, sugerindo que os atores da ameaça podem ter lançado uma rede ampla antes de se concentrarem em um pequeno grupo de alvos. Também é possível que os atacantes, provavelmente com níveis variados de expertise técnica, planejaram infectar várias organizações.
Embora muitas características da campanha estejam alinhadas com atividades de ameaças cibernéticas, os pesquisadores avaliam que isso provavelmente é uma atividade de espionagem com objetivos finais ainda desconhecidos.
Essa descoberta ocorre ao mesmo tempo em que o Netskope Threat Labs identificou uma versão atualizada do Latrodectus (versão 1.4), que traz um novo endpoint C2 e adiciona dois novos comandos de backdoor que permitem baixar shellcode de um servidor especificado e recuperar arquivos de uma localização remota.
Achou esse artigo interessante? Comente, Inscreva-se na nossa newsletter ou siga-nos em nossas redes sociais para ler mais conteúdos exclusivos que publicamos.
Receba as últimas atualizações diretamente no seu celular através do nosso canal no WhatsApp. Clique aqui para se conectar agora.
Obtenha mais coisas como esta
Inscreva-se em nossa newsletter e receba conteúdos interessantes e atualizações em sua caixa de entrada de e-mail.
Obrigado por se inscrever.
Algo correu mal.
