Attenzione a Voldemort, il malware che ruba dati sensibili per spiarvi
Il Threat Research Team di Proofpoint ha identificato un malware personalizzato chiamato Voldemort che sembra operare con il principale obiettivo di raccogliere informazioni sensibili dai dispositivi elettronici delle vittime.
Infatti, i ricercatori che hanno analizzato il malware sono arrivati alla conclusione che i criminali informatici in questione non mirano come avviene di solito a un ritorno finanziario, ma hanno invece “un interesse maggiore per lo spionaggio”. Perché lo scopo sarebbe solo quello di entrare in possesso del maggior numero di dati sensibili, il che fa pensare che dietro questa campagna si possa nascondere un attore ben più minaccioso di quanto appare, ovvero un'entità criminale che riesce a stabilire una presenza illecita, e duratura nel tempo, all'interno di una rete aziendale.
In particolare, a partire dal 5 agosto scorso gli esperti di Proofpoint hanno identificato una campagna insolita che utilizzava una catena di attacco inedita per diffondere il malware attraverso oltre 20.000 messaggi diretti verso oltre 70 aziende a livello globale. La prima ondata comprendeva qualche centinaio di messaggi al giorno, con un picco di quasi 6.000 totali registrato il 17 agosto.
Secondo quanto riportato dai ricercatori, i cybercriminali hanno inviato i messaggi di posta elettronica spacciandosi per le autorità fiscali di Europa, Asia e Stati Uniti. In Italia, per esempio, si sono finti per l'Agenzia delle Entrate, e con la scusa di dover di dover notificare dei documenti ufficiali si sono infiltrati all'interno dei sistemi delle vittime.
La catena di attacco comprende diverse tecniche attualmente diffuse nel panorama delle minacce, oltre a metodi non comuni per il comando e il controllo (C2) come l’uso di Google Sheets. La combinazione di tattiche, tecniche e procedure (Ttp), i temi di richiamo che impersonano agenzie governative di vari paesi e la strana denominazione dei file e delle password come “test” sono degni di nota. Inizialmente, i ricercatori, avevano infatti sospettato che l’attività potesse essere di un red team aziendale, ma il grande volume di messaggi e l’analisi del malware hanno rapidamente indicato che si trattava di un reale attore di minacce.
Proofpoint ritiene, con buona probabilità, che si tratti di un attore di minacce persistenti avanzate (Apt) con l’obiettivo di raccogliere informazioni sensibili, anche se ancora non dispone di dati sufficienti per attribuire con elevata sicurezza un nome specifico. Tuttavia, nonostante l’ampia diffusione del target e le caratteristiche più tipicamente allineate all’attività criminale informatica, la natura e funzionalità del malware sembrano evidenziare un prevalente interesse a spiare le attività delle vittime che sono state infettate a loro insaputa.
Voldemort è una backdoor personalizzata con capacità di raccolta di informazioni e di rilascio di payload aggiuntivi. In tale contesto, Proofpoint ha osservato Cobalt Strike (software di emulazione minacce) ospitato nell’infrastruttura dell’attore ed è probabile che questo sia uno dei payload consegnati. Gli analisti hanno messo in relazione la lingua delle e-mail con le informazioni pubbliche disponibili su un numero selezionato di obiettivi, scoprendo che i cybercriminali hanno preso di mira le vittime previste secondo il loro paese di residenza, e non quello in cui opera l’azienda, o in base alla nazione o lingua che potevano essere recuperati dall’indirizzo e-mail.