Voldemorta odkryli badacze ds. bezpieczeństwa z Proofpoint. Szkodnik rozprzestrzenia się za pośrednictwem wiadomości phishingowych i podszywa pod Arkusze Google, aby ominąć systemy bezpieczeństwa i uzyskać dostęp do różnych rodzajów danych. Twórcy stojący za tym atakiem złośliwego oprogramowania są nadal nieznani, ale Proofpoint uważa, że jest to forma cybernetycznego szpiegostwa.
Voldemort – jak go rozpoznać?
Źródłem dystrybucji szkodnika są e-maile phishingowe. Udają, że pochodzą od władz w USA, Europie lub Azji. Według raportu atakujący projektują je tak, aby pasowały do lokalizacji organizacji docelowej na podstawie publicznie dostępnych informacji, zaś same e-maile zawierają linki do rzekomych dokumentów z “aktualizowanymi informacjami podatkowymi”. Kampania mailowa rozpoczęła się 5 sierpnia, a jak się szacuje, atakujący wysłali już ponad 20 000 wiadomości e-mail do ponad 70 docelowych firm. W najbardziej aktywnych dniach wiadomości phishingowe docierają do 6000 potencjalnych ofiar.
Co się stanie, gdy ofiara kliknie link w wiadomościach? Zostanie przekierowana do pobrania pliku zamaskowanego jako PDF. Może nie wydawać się podejrzany, gdyż złośliwe oprogramowanie maskuje się jako ruch sieciowy i używa Arkuszy Google jako serwera poleceń i kontroli. Ponieważ ze względu na użycie interfejsu API Google systemy bezpieczeństwa nie klasyfikują ruchu złośliwego oprogramowania jako podejrzanego, atak może się powieść.
Czytaj też: Takie zmiany to ja lubię. Dokumenty Google będą jeszcze lepsze – i nie tylko one
Aby zabezpieczyć się przed atakiem złośliwego oprogramowania Voldemort, Proofpoint zaleca ograniczenie dostępu z zewnętrznych usług udostępniania plików do zaufanych serwerów, blokowanie połączeń z TryCloudflare, gdy nie są one aktywnie potrzebne, a także monitorowanie podejrzanych uruchomień programu PowerShell. Oczywiście niezbędne jest także zachowanie zdrowego rozsądku i dobry antywirus.