Eine Welle von Phishing-Mails hat in den letzten Wochen Steuerbehörden, Unternehmen und Organisationen weltweit ins Visier genommen. Im Gepäck: Die Malware „Voldemort“, die sensible Daten ausspäht und an ihre Hintermänner überträgt. Das Besondere daran: Zur Steuerung und für den Datenabfluss missbrauchen die Angreifer ausgerechnet Google Sheets, wie die Sicherheitsfirma Proofpoint in einem ausführlichen Bericht darlegt.
Über präparierte Webseiten und getarnte Dateien gelangt Voldemort auf die Rechner seiner Opfer. Dort sammelt der Schädling Informationen wie Rechnername, Benutzername, installierte Programme und Umgebungsvariablen. Die Daten werden verschlüsselt in die Google-Cloud hochgeladen, wo die Angreifer sie abrufen und analysieren können.
Mehr als 20.000 Phishing-Mails hat das Cybersicherheitsunternehmen Proofpoint im August registriert. Über 70 Organisationen, darunter viele Versicherungen, Logistik-Unternehmen und Bildungseinrichtungen, sind bereits betroffen. Die Mails geben sich als Mitteilungen von Steuerbehörden aus den USA, Großbritannien, Frankreich, Deutschland, Italien, Indien und Japan aus.
Voldemort kombiniert altbekannte Techniken wie das Ausnutzen von Sicherheitslücken mit ungewöhnlichen Methoden. So kommuniziert die Schadsoftware über die Google Sheets API mit ihren Betreibern. Auch Windows-Suchfunktionen und Cloudflare-Tunnel werden kreativ zweckentfremdet, um bösartigen Code auszuführen und die Herkunft zu verschleiern.
Die Sicherheitsforscher vermuten hinter der Kampagne staatlich gesponserte Hacker mit Spionageabsichten. Dafür würden die fortschrittlichen Fähigkeiten der Malware, Daten abzugreifen und weitere Module nachzuladen, sprechen. Auch Hinweise auf kompromittierte Cobalt Strike Server und OpenWRT-Firmware untermauern diese Theorie. Das genaue Ziel der Angreifer ist aber noch unklar.
Um sich vor Voldemort und ähnlichen Bedrohungen zu schützen, raten die Experten zu einem mehrschichtigen Ansatz: Neben technischen Maßnahmen wie dem Blockieren verdächtiger Verbindungen sei es entscheidend, Mitarbeiter für Phishing-Gefahren zu sensibilisieren. Auch das konsequente Einspielen von Sicherheits-Updates und das Überwachen kritischer Systeme könne Angriffe erschweren.
via Heise
Folge jetzt unserem Newsletter-Kanal bei WhatsApp. Info: *provisionierte Affiliate-Links.
Was denn nun – Phishing oder Malware? Das eine hat mit dem anderen nichts zu tun.