Вредоносная кампания, получившая название "Волдеморт", использует Google Таблицы (Google Sheets) в качестве приманки для заманивания жертв в ловушку. Злоумышленники, выдающие себя за налоговые органы разных стран, отправляют фишинговые письма, притворяясь, что предоставляют важную информацию о налогах. Исследователи Proofpoint выявили, что эта кампания начала свою работу 5 августа 2024 года и уже атаковала более 70 организаций по всему миру.
Хакеры тщательно подбирают текст писем, учитывая местонахождение конкретной организации. Они используют открытые источники, чтобы узнать о ней как можно больше, и максимально персонализируют послания. Письма якобы содержат обновленную налоговую информацию и ссылки на соответствующие документы.
При переходе по ссылке из письма, получатель попадает на лендинг, размещенный на InfinityFree, который использует URL-адреса Google AMP Cache для перенаправления на страницу с кнопкой "Нажмите, чтобы просмотреть документ".
При нажатии на кнопку, страница проверяет User Agent браузера жертвы. Если это браузер Windows, она перенаправляет пользователя на URI search-ms (Windows Search Protocol), который указывает на туннелированный URI TryCloudflare. В случае, если пользователь работает не под Windows, он перенаправляется на пустой URL Google.
Что происходит после перехода по ссылке?
В случае с Windows-пользователями, ссылка перенаправляет на URI TryCloudflare. Это является признаком бэкдора "Волдеморт".
"Волдеморт" - это не просто фишинг:
Бэкдор "Волдеморт" предназначен для сбора информации и доставки дополнительных полезных нагрузок. Это значит, что атакующие могут получить доступ к данным с устройства жертвы, установить шпионские программы или даже получить полный контроль над системой.
Атакующие нацелены на различные секторы, включая страхование, аэрокосмическую промышленность, транспорт, образование, финансы, технологии, промышленность, здравоохранение, автомобилестроение, гостиничный бизнес, энергетику, государственное управление, СМИ, телекоммуникации и многие другие.
В настоящее время неизвестно, кто именно стоит за этой кампанией, однако эксперты Proofpoint считают, что наиболее вероятной целью атакующих является кибершпионаж.