La nuova campagna malware, nota come Voldemort, sta diffondendo una backdoor spacciandosi per agenzie fiscali di Europa, Usa e Asia per memorizzare i dati rubati tra le quali la nostra Agenzia delle Entrate.
Secondo un rapporto di Proofpoint, una società americana di sicurezza informatica aziendale con sede a Sunnyvale, in California, la campagna è iniziata il 5 agosto scorso e ha diffuso oltre 20mila email mirate a più di 70 organizzazioni, raggiungendone 6mila in un solo giorno.
Oltre la metà di tutte le organizzazioni prese di mira appartengono ai settori assicurativo, aerospaziale, dei trasporti e dell’istruzione. L’attore della minaccia dietro questa campagna è sconosciuto, ma Proofpoint ritiene che abbia l’obiettivo di condurre spionaggio informatico.
Secondo un nuovo rapporto, gli aggressori creano mail di phishing che corrispondono a un’organizzazione mirata ubicata sulla base di informazioni pubbliche. Le mail di phishing impersonano le autorità fiscali del Paese dell’organizzazione, millantando che ci sono informazioni fiscali aggiornate e includono link a documenti associati.
Questo approccio consente agli attaccanti di eludere i sistemi di rilevamento tradizionali.
Cliccando sul link, spiegano gli esperti di cybersecurity360.it, un sito specializzato, i destinatari subiscono un reindirizzamento verso una pagina d’atterraggio ospitata su InfinityFree, che sfrutta gli URL di Google AMP Cache per dirottare la vittima a una pagina con un pulsante “Clicca per visualizzare il documento”.
Quando si clicca sul pulsante, la pagina controlla l’agente utente del browser e, se è per Windows, reindirizza l’obiettivo a un URI search-ms (Windows Search Protocol) che punta a un URI con tunnel TryCloudflare. Gli utenti non Windows vengono reindirizzati a un URL vuoto di Google Drive che non contiene contenuti malevoli.
Se la vittima interagisce con il file search-ms, Windows Explorer viene attivato per visualizzare un file LNK o ZIP camuffato da PDF.
Serve quindi una vigilanza continua e il controllo su tutte le comunicazioni, anche quelle apparentemente sicure. Nel 2023 il gruppo di hacker cinesi APT41 in precedenza avrebbe utilizzato Google Sheets come server di comando e controllo tramite l’uso del toolkit red-teaming GC2.
Per difendersi da questa campagna, Proofpoint consiglia di limitare l’accesso ai servizi di condivisione di file esterni ai server affidabili, di bloccare le connessioni a TryCloudflare se non sono necessarie attivamente e di effettuare il monitoraggio dell’esecuzione di PowerShell sospette.