Malware "Voldemort": Angreifer nehmen verstärkt Steuerzahler ins Visier
Die Malware Voldemort soll der Spionage dienen. Sie wird allerdings erst aktiv, nachdem mehrfach Sicherheitshinweise ignoriert wurden.
Eine neue Angriffswelle zielt verstärkt auf Steuerbehörden, aber auch auf andere Behörden und Unternehmen verschiedener Länder ab, auch hierzulande. Dabei wird die Malware "Voldemort" über Phishing-Mails verbreitet. Wer klickt, installiert sich womöglich eine Backdoor. Das berichten die Cybersicherheitsexperten von Proofpoint. Demnach wurden weltweit bereits 20.000 E-Mails versendet – mehr als 70 Organisationen aus nahezu allen Branchen sind betroffen.
Über die Hälfte der betroffenen Organisationen stammt aus den Bereichen Versicherungen, Luft- und Raumfahrt, Verkehr und Bildung. Der Urheber dieser Kampagne ist unbekannt, aber Proofpoint vermutet, dass das Hauptziel Spionage ist.
Betrüger "seit einiger Zeit" aktiv
"Seit einiger Zeit versuchen Betrüger über verschiedene E-Mail-Adressen, wie beispielsweise 'poststelle@bzst.bund.de" an Informationen von Steuerzahlerinnen und Steuerzahlern zu gelangen", heißt es vom BZSt (Bundeszentralamt für Steuern). Betroffene erhalten Phishing-Mails, in denen von vermeintlichen Änderungen in der Steuererklärung die Rede ist, das stimmt jedoch nicht. Wer eine verdächtige Mail erhält, solle das dem BZSt (oeffentlichkeitsarbeit@bzst.bund.de) melden.
Auffällig sei "die Kombination aus gängigen und ungewöhnlichen Techniken, darunter die Nutzung von Google Sheets zur Steuerung der Malware (C2) und die Ausnutzung einer Sicherheitslücke im Zusammenhang mit gespeicherten Suchdateien (.search-ms)", erklärt Proofpoint. Eine Analyse der in C geschriebenen Malware habe ergeben, dass Daten infizierter Computer gesammelt und an die Angreifer zurückgesendet werden.
Die Angreifer versenden Phishing-Mails, die die Opfer zum Anklicken eines Links verleiten und dadurch zu einer Landingpage weiterleiten sollen, die eine "Google AMP Cache"-URL enthält, die beim kostenlosen Webhosting-Dienst InfinityFree gehostet wird. Auf der Landingpage kann man mit "Click to view document" das vermeintlich wichtige Dokument aus der E-Mail ansehen.
Wenn der User Agent "windows" enthält, wird der Browser zu einem "search-ms"-URI weitergeleitet, der ein Pop-up anzeigt und den Nutzer auffordert, den Windows Explorer zu öffnen. Gleichzeitig wird ein Bild geladen, um die erfolgreiche Weiterleitung zu protokollieren und zusätzliche Informationen zu sammeln. Enthält der User Agent kein "windows", wird der Browser zu einer leeren Google-Drive-URL weitergeleitet und ein Bild geladen, um die Klicks zu protokollieren.
Für Windows-Nutzer geht es weiter
Nach dem Öffnen des Windows Explorers führt dieser eine Windows-Suchanfrage aus, die eine Windows Shortcut-Datei (LNK) oder eine ZIP-Datei enthält. Diese Dateien werden auf einem TryCloudflare-Host in einem WebDAV-Verzeichnis gehostet und erscheinen als lokale Dateien im Download-Ordner des Benutzers. Die LNK-Datei wird dabei als vermeintliche PDF-Datei getarnt, um den Benutzer zu täuschen.
Wenn die LNK-Datei ausgeführt wird, startet sie PowerShell, um 'Python.exe' von einer WebDAV-Freigabe auszuführen und ein Python-Skript zu laden. Das Skript sammelt Informationen des Computers und sendet sie als Base64-kodierte Zeichenfolge an eine Protokoll-URL.
Voldemort nutzt eine Schwachstelle in 'CiscoCollabHost.exe' für DLL-Hijacking und lädt eine manipulierte 'CiscoSparkLauncher.dll', die in diesem Fall die Voldemort-spezifischen Daten enthält. Tatsächlich reicht es, dass die DLL den richtigen Namen hat und eine Funktion namens SparkEntryPoint
exportiert. Die so eingeschleuste Malware startet mit einer Verzögerung, um etwa eine genutzte Sandbox zu umgehen, und führt dann API-Aufrufe durch, deren Funktionen dynamisch entschlüsselt werden.
Die Konfigurationsdaten der Malware sind verschlüsselt und werden durch eine spezielle Routine im Code entschlüsselt, wobei ein "Egg Hunting"-Mechanismus verwendet wird – die Schadsoftware sucht nach einer bestimmten Zeichenfolge im Prozessspeicher, um ab dort die Informationen zu nutzen. Die Konfiguration enthält Informationen wie Client-ID und Client-Secret, die für die Kommunikation mit dem Command-and-Control (C2) Server, welcher über Google Sheets läuft, genutzt werden.
Lesen Sie auch
Betrugsmasche Quishing: QR-Code-Phishing nimmt zu
Laut Proofpoint nutzen "die Angreifer die Google-Sheets-Infrastruktur nicht nur zur Steuerung und Kontrolle, sondern auch für die Exfiltration von Daten und die Ausführung von Befehlen auf den infizierten Rechnern". Sie kann diverse Befehle wie 'Ping', 'Dir', 'Download' und 'Exec' ausführen. Die Kommunikation erfolgt verschlüsselt und die Daten werden in der Google Sheets-Infrastruktur gespeichert. Ebenso seien auch "Hinweise auf OpenWRT-Firmware und einen kompromittierten Cobalt Strike Server" gefunden worden, die mit anderen Aktivitäten der Angreifer in Verbindung stehen könnten.
Spionage-Malware
Proofpoint vermutet, dass die Kampagne eher auf Spionage abzielt, weil die Malware auf das Sammeln von Informationen ausgelegt ist und weitere Schadprogramme herunterladen kann. Wahrscheinlich handelt es sich dabei auch um einen regierungsnahen APT-Angriff (Advanced Persistent Threat).
Es wird empfohlen, den Zugriff auf externe Dateifreigabedienste zu beschränken, Netzwerkverbindungen zu TryCloudflare zu blockieren und den Gebrauch von 'search-ms' sowie verdächtige Aktivitäten wie LNK- und PowerShell-Ausführungen zu überwachen. Proofpoint listet zudem Indicators of Compromise (IoCs) und verdächtige Signaturen auf.
(mack)