Malware Voldemort berfungsi sebagai backdoor yang mengumpulkan data intelijen dan dapat mengeksekusi berbagai jenis malware lain yang ditargetkan.
Peneliti keamanan siber dari Proofpoint menemukan kampanye serangan siber yang tidak biasa pada Agustus 2024 dengan menggunakan malware baru bernama ‘Voldemort’. Para peretas memanfaatkan Google Sheets sebagai tempat penyimpanan data curian dan menjalankan skrip berbahaya, memanfaatkan status platform yang dipercaya dan fitur kolaborasinya.
Dilansir dari Cybersecurity News (3/9), malware Voldemort berfungsi sebagai backdoor yang mengumpulkan data intelijen dan dapat mengeksekusi berbagai jenis malware lain yang ditargetkan. Penyelidikan mengungkapkan bahwa infrastruktur aktor ancaman ini digunakan sebagai host untuk serangan lanjutan, termasuk cobalt strike yang diduga merupakan salah satu payload yang akan ditanamkan.
Menurut Proofpoint, serangan ini mulai meningkat sejak 5 Agustus 2024 dengan lebih dari 20.000 pesan yang disebarkan ke lebih dari 70 organisasi. Serangan ini menggunakan metode baru yang jarang ditemukan dalam aktivitas Command and Control (C2), seperti penggunaan Google Sheets untuk menyimpan data curian dan mengendalikan perangkat yang telah terinfeksi.
Serangan dimulai dengan mengarahkan korban melalui URL Google AMP Cache dan laman pendaratan dari InfinityFree serta terowongan Cloudflare. Serangan ini memanfaatkan Windows Search dan membuka file DEX Windows (LNK) atau file ZIP berisi LNK melalui Windows Explorer.
File LNK yang diaktifkan akan menjalankan PowerShell untuk mengakses skrip Python yang diletakkan di WebDAV share, yang kemudian mengumpulkan informasi sistem dan mengunduh file PDF palsu serta file ZIP dengan kata sandi yang berisi beberapa file eksekusi seperti ciscocollabhost.exe dan cimcagent.exe. Salah satu file tersebut, ciscosparklauncher.dll, meluncurkan malware bernama Voldemort.
Malware ini menggunakan format file Saved Search (.search-ms) untuk menyembunyikan sifat berbahaya dari file yang diakses secara jarak jauh dan memanfaatkan Google Sheets untuk tujuan:
- Command and control (pengendalian)
- Eksfiltrasi data
- Eksekusi perintah jarak jauh
Selama analisis, ditemukan bahwa aktor ancaman menggunakan API Google standar yang mengekspos ID klien dan rahasia klien, memungkinkan mereka untuk membaca data dari Google Sheets. Setiap kali aktor berinteraksi dengan mesin korban, mereka membuat halaman baru menggunakan nama host dan nama pengguna mesin tersebut.
Investigasi lebih lanjut terhadap Google Drive menggunakan rahasia klien yang sama mengungkap artefak tambahan, termasuk arsip 7zip dengan perlindungan kata sandi yang berisi DLL dan file eksekusi. Salah satu file bernama “Shuaruta.exe” rentan terhadap serangan DLL sideloading dan dapat digunakan untuk memperkenalkan beacon cobalt strike ke sistem.
Penemuan ini menggarisbawahi ancaman serius yang ditimbulkan oleh malware Voldemort dan teknik canggih yang digunakan oleh peretas untuk menyusup ke sistem korban tanpa terdeteksi.
