Los investigadores de ciberseguridad han descubierto una nueva campaña de malware que aprovecha Google Sheets como mecanismo de comando y control (C2).
La actividad, detectado por Proofpoint a partir del 5 de agosto de 2024, se hace pasar por autoridades fiscales de gobiernos de Europa, Asia y los EE. UU., con el objetivo de atacar a más de 70 organizaciones en todo el mundo mediante una herramienta a medida llamada Voldemort que está equipada para recopilar información y entregar cargas útiles adicionales.
Los sectores objetivo incluyen seguros, aeroespacial, transporte, academia, finanzas, tecnología, industria, atención médica, automotriz, hotelería, energía, gobierno, medios de comunicación, manufactura, telecomunicaciones y organizaciones de beneficios sociales.
La presunta campaña de ciberespionaje no ha sido atribuida a ningún actor de amenazas específico. Se han enviado hasta 20.000 mensajes de correo electrónico como parte de los ataques.
Estos correos electrónicos afirman provenir de autoridades fiscales de EE. UU., Reino Unido, Francia, Alemania, Italia, India y Japón, y alertan a los destinatarios sobre cambios en sus declaraciones de impuestos y los instan a hacer clic en las URL de caché AMP de Google que redirigen a los usuarios a una página de destino intermedia.
Lo que hace la página es inspeccionar el Cadena de agente de usuario para determinar si el sistema operativo es Windows y, de ser así, aprovechar el controlador de protocolo URI search-ms: para mostrar un archivo de acceso directo de Windows (LNK) que utiliza Adobe Acrobat Reader para hacerse pasar por un archivo PDF en un intento de engañar a la víctima para que lo inicie.
«Si se ejecuta LNK, invocará PowerShell para ejecutar Python.exe desde un tercer recurso compartido WebDAV en el mismo túnel (library), pasando un script de Python en un cuarto recurso compartido (resource) en el mismo host como argumento», dijeron los investigadores de Proofpoint Tommy Madjar, Pim Trouerbach y Selena Larson.
«Esto hace que Python ejecute el script sin descargar ningún archivo a la computadora, y las dependencias se cargan directamente desde el recurso compartido WebDAV».
El script de Python está diseñado para recopilar información del sistema y enviar los datos en forma de una cadena codificada en Base64 a un dominio controlado por un actor, después de lo cual muestra un PDF señuelo al usuario y descarga un archivo ZIP protegido con contraseña de OpenDrive.
El archivo ZIP, por su parte, contiene dos archivos, un ejecutable legítimo «CiscoCollabHost.exe» que es susceptible a la carga lateral de DLL y un archivo DLL malicioso «CiscoSparkLauncher.dll» (es decir, Voldemort) que se carga lateralmente.
Voldemort es una puerta trasera personalizada escrita en C que viene con capacidades para recopilar información y cargar cargas útiles de la siguiente etapa, y el malware utiliza Google Sheets para C2, exfiltración de datos y ejecución de comandos de los operadores.
Proofpoint describió la actividad como alineada con amenazas persistentes avanzadas (APT) pero con «vibraciones de delito cibernético» debido al uso de técnicas populares en el panorama del delito electrónico.
«Los actores de amenazas abusan de los URI de esquemas de archivos para acceder a recursos externos de intercambio de archivos para la preparación de malware, específicamente WebDAV y Server Message Block (SMB). Esto se hace utilizando el esquema ‘file://’ y apuntando a un servidor remoto que aloja el contenido malicioso», dijeron los investigadores.
Este enfoque ha sido cada vez más frecuente entre las familias de malware que actúan como agentes de acceso inicial (IAB), como Latrodectus, DarkGate y XWorm.
Además, Proofpoint afirmó que pudo leer el contenido de Google Sheet, identificando un total de seis víctimas, incluida una que se cree que es un sandbox o un «investigador conocido».
La campaña ha sido calificada de inusual, lo que plantea la posibilidad de que los actores de la amenaza hayan lanzado una red amplia antes de centrarse en un pequeño grupo de objetivos. También es posible que los atacantes, probablemente con distintos niveles de experiencia técnica, hayan planeado infectar a varias organizaciones.
«Si bien muchas de las características de la campaña se alinean con la actividad de amenazas cibernéticas, evaluamos que es probable que se trate de una actividad de espionaje realizada para apoyar objetivos finales aún desconocidos», dijeron los investigadores.
«La amalgama frankensteiniana de capacidades inteligentes y sofisticadas, combinadas con técnicas y funcionalidades muy básicas, hace que sea difícil evaluar el nivel de capacidad del actor de la amenaza y determinar con gran confianza los objetivos finales de la campaña».
El desarrollo se produce luego de que Netskope Threat Labs descubrió una versión actualizada de Latrodectus (versión 1.4) que viene con un nuevo punto final C2 y agrega dos nuevos comandos de puerta trasera que le permiten descargar shellcode de un servidor específico y recuperar archivos arbitrarios de una ubicación remota.
«Latrodectus ha evolucionado bastante rápido, añadiendo nuevas características a su carga útil», dijo el investigador de seguridad Leandro Fróes dicho«La comprensión de las actualizaciones aplicadas a su carga útil permite a los defensores mantener los canales automatizados configurados correctamente, así como utilizar la información para seguir buscando nuevas variantes».