Cercetătorii în securitate cibernetică au identificat un nou malware, suspectat de activități de spionaj. Hackerii infectează dispozitivele utilizatorilor pretinzând că sunt agenții guvernamentale, de obicei fiscale. Toate acestea se derulează prin Google Sheets.
Odată ce software-ul malițios ajunge pe un PC, acesta poate colecta informații personale, parole și alte date, poate descărca software suplimentar malițios și poate încărca datele pe serverul hackerilor.
Toate acestea sunt realizate folosind Google Sheets pentru a evita suspiciunile și pentru a stoca datele.
Totul începe cu un e-mail fals
Hackerii din spatele acestui malware, denumit „Voldemort”, l-au conceput astfel încât să evite detectarea.
Atacul cibernetic începe cu un e-mail care pare a fi de la o agenție fiscală guvernamentală.
Hackerii au imitat agenții fiscale din diverse țări, inclusiv SUA (IRS), Marea Britanie (HM Revenue & Customs), Franța (Direction Générale des Finances Publiques), Germania (Bundeszentralamt für Steuern), Italia (Agenzia delle Entrate), India (Income Tax Department) și Japonia (National Tax Agency).
Fiecare e-mail era personalizat și redactat în limba autorității fiscale pe care o imită.
Voldemort folosește Google Sheets pentru a stoca date
Malware-ul utilizează Google Sheets drept un centru de comandă, unde primește noi instrucțiuni și stochează datele furate.
Fiecare dispozitiv infectat trimite datele către celule specifice din Google Sheets, marcate cu ID-uri unice pentru a păstra totul organizat.
În e-mailul fals, hackerii care se dau drept agenții guvernamentale avertizează cetățenii despre modificări în ratele și sistemele fiscale și le cer să acceseze un link pentru a citi un ghid detaliat.
Când aceștia accesează linkul, sunt redirecționați către o pagină care folosește URL-uri Google AMP Cache și care îi îndrumă către o pagină cu un buton „Click pentru a vizualiza documentul”.
Mai departe, hackerii verifică dacă utilizatorii folosesc un dispozitiv Windows. Dacă da, sunt redirecționați către o altă pagină.
Interacțiunea cu acea pagină declanșează descărcarea unui fișier care pare a fi un PDF în folderul de descărcări al PC-ului, dar este de fapt un fișier LNK sau ZIP găzduit pe un server extern.
Când deschid fișierul, acesta rulează un script Python de pe un alt server, fără a-l descărca efectiv pe computerul victimei.