Malware "Voldemort": Zunahme der Angriffe auf Steuerzahler

Die Cyberbedrohung "Voldemort" sorgt für großes Aufsehen. Angreifer richten sich nicht nur gegen Steuerbehörden – ebenfalls andere Institutionen und Unternehmen sind gefährdet. Der Sicherheitsexperte Proofpoint berichtet von einer massiven Angriffswelle. Weltweit sind bereits 20.000 E-Mails versendet worden. Mehr als 70 Organisationen aus verschiedenen Branchen wurden kompromittiert.



Verbreitung durch Phishing


Phishing-Mails dienen als Hauptverbreitungsweg für die Malware. Diese Mails enthalten Hinweise auf angebliche Änderungen der Steuererklärung. Betroffene erhalten Nachrichten von gefälschten E-Mail-Adressen. Das Bundeszentralamt für Steuern (BZSt) warnt vor solchen Betrugsversuchen. Verdächtige Mails sollen umgehend an das BZSt gemeldet werden.



Unbekannter Urheber – Fokus auf Spionage


Die Cyberangriffe zeigen eine Kombination aus bekannten und ungewöhnlichen Techniken. Die Verwendung von Google Sheets zur Steuerung der Malware fällt ins Auge. Proofpoint vermutet; dass das Hauptziel der Angreifer Spionage ist. Diese Malware wurde in C programmiert. Sie sammelt Daten von infizierten Computern die an die Täter zurückgeschickt werden.



Technische Hintergründe der Angriffe


Phishing-Mails führen die Nutzer auf eine Landingpage die eine "Google AMP Cache"-URL enthält. Die Eingabeaufforderung "Click to view document" soll den Benutzer zum Klicken animieren. Bei Windows-Nutzern erfolgt im Anschluss eine unerwünschte Weiterleitung. Ein Pop-up fordert auf, den Windows Explorer zu öffnen. Gleichzeitig werden Informationen für die Angreifer gesammelt.



Komplexe Abläufe für Windows-Nutzer


Sobald der Windows Explorer geöffnet ist, führt ein Suchbefehl zur Ausführung einer manipulierten LNK- oder ZIP-Datei. Diese Dateien tarnen sich als PDF. Im Hintergrund wird ein Python-Skript heruntergeladen, welches Daten sammelt und verschlüsselt an eine Protokoll-URL sendet. Die Malware nutzt Schwachstellen in 'CiscoCollabHost.exe' aus. Hierbei kommt es zu DLL-Hijacking.



Nutzung von Google Sheets für Steuerung & Exfiltration


Die Angreifer bedienen sich der Google-Sheets-Infrastruktur nicht nur zur Kontrolle. Sie verwenden sie auch für die Datenexfiltration. Befehle wie 'Ping', 'Dir', 'Download' und 'Exec' können über die Malware ausgeführt werden. Alle Kommunikationswege sind verschlüsselt. Darüber hinaus werden verdächtige Aktivitäten im Serverbereich beobachtet.



Empfehlung zur Sicherheit


Proofpoint rät zur Vorsicht. Der Zugriff auf externe Dateifreigabedienste sollte stark eingeschränkt werden. Verbindungen zu TryCloudflare sind zu blockieren. Zudem empfiehlt es sich die Nutzung von 'search-ms' zu überwachen. LNK- und PowerShell-Ausführungen müssen ähnlich wie im Blick behalten werden. Indicators of Compromise (IoCs) und verdächtige Signaturen sind wichtige Werkzeuge zur Erkennung von Angriffen.






Kommentare


Anzeige