Специалисты по информационной безопасности из компании Proofpoint выпустили предупреждение о новом вредоносном приложении под названием Voldemort. Программа распространяется через фишинговые электронные письма и использует таблицы Google Sheets, чтобы обмануть системы безопасности и получить доступ к различным видам персональных данных. Компании, организации и предприятия являются основными целями этой программы. Чаще всего она нацеливается на страховые компании, предприятия аэрокосмической и транспортной отраслей, а также на образовательные учреждения. Специалисты полагают, что программа используется для кибершпионажа.
Письма приходят якобы от властей США, Европы или Азии. В зависимости от региона нахождения организации в письма вносятся соответствующие изменения. Внутри находятся ссылки, якобы ведущие на документы с налоговой информацией.
Кампания по распространению началась 5 августа, и за минувшее время было отправлено свыше 20000 писем более чем в 70 компаний. Если нажать на ссылку в письме, начинается скачивание файла якобы формата PDF. Google Sheets используется в качестве сервера управления и контроля, поэтому приложения безопасности не классифицируют вредоносный трафик как подозрительный из-за применения API Google.
Программа предназначена в первую очередь для кражи данных, но также умеет загружать дополнительные вредоносные приложения, удалять файлы и т.д. Это своего рода бэкдор, который открывает доступ к другим атакам.
Для защиты специалисты рекомендуют отключать доступ внешних служб по обмену файлами к доверенным серверам, блокировать подключения к TryCloudflare при отсутствии необходимости в них и следить за подозрительными выполнениями PowerShell.