Malware ‘Voldemort’ gunakan Google Sheets untuk simpan data curian
Malware Voldemort berfungsi sebagai backdoor yang mengumpulkan data intelijen dan dapat mengeksekusi berbagai jenis malware lain yang ditargetkan.
Peneliti keamanan siber dari Proofpoint menemukan kampanye serangan siber yang tidak biasa pada Agustus 2024 dengan menggunakan malware baru bernama ‘Voldemort’. Para peretas memanfaatkan Google Sheets sebagai tempat penyimpanan data curian dan menjalankan skrip berbahaya, memanfaatkan status platform yang dipercaya dan fitur kolaborasinya.
Dilansir dari Cybersecurity News (3/9), malware Voldemort berfungsi sebagai backdoor yang mengumpulkan data intelijen dan dapat mengeksekusi berbagai jenis malware lain yang ditargetkan. Penyelidikan mengungkapkan bahwa infrastruktur aktor ancaman ini digunakan sebagai host untuk serangan lanjutan, termasuk cobalt strike yang diduga merupakan salah satu payload yang akan ditanamkan.
Menurut Proofpoint, serangan ini mulai meningkat sejak 5 Agustus 2024 dengan lebih dari 20.000 pesan yang disebarkan ke lebih dari 70 organisasi. Serangan ini menggunakan metode baru yang jarang ditemukan dalam aktivitas Command and Control (C2), seperti penggunaan Google Sheets untuk menyimpan data curian dan mengendalikan perangkat yang telah terinfeksi.
Serangan dimulai dengan mengarahkan korban melalui URL Google AMP Cache dan laman pendaratan dari InfinityFree serta terowongan Cloudflare. Serangan ini memanfaatkan Windows Search dan membuka file DEX Windows (LNK) atau file ZIP berisi LNK melalui Windows Explorer.
File LNK yang diaktifkan akan menjalankan PowerShell untuk mengakses skrip Python yang diletakkan di WebDAV share, yang kemudian mengumpulkan informasi sistem dan mengunduh file PDF palsu serta file ZIP dengan kata sandi yang berisi beberapa file eksekusi seperti ciscocollabhost.exe dan cimcagent.exe. Salah satu file tersebut, ciscosparklauncher.dll, meluncurkan malware bernama Voldemort.