Los investigadores de ciberseguridad han descubierto una nueva campaña de malware que utiliza Google Sheets como mecanismo de comando y control (C2). La actividad, detectada por Proofpoint a partir del 5 de agosto de 2024, se hace pasar por autoridades fiscales de gobiernos de Europa, Asia y Estados Unidos, con el objetivo de atacar a más de 70 organizaciones en todo el mundo mediante una herramienta a medida llamada Voldemort que está equipada para recopilar información y entregar cargas útiles adicionales. Los sectores objetivo incluyen seguros, aeroespacial, transporte, academia, finanzas, tecnología, industria, atención médica, automoción, hotelería, energía, gobierno, medios de comunicación, fabricación, telecomunicaciones y organizaciones de beneficios sociales. La presunta campaña de ciberespionaje no se ha atribuido a un actor de amenazas específico. Se han enviado hasta 20.000 mensajes de correo electrónico como parte de los ataques. Estos correos electrónicos dicen ser de autoridades fiscales de los EE. UU., el Reino Unido, Francia, Alemania, Italia, India y Japón, alertando a los destinatarios sobre cambios en sus declaraciones de impuestos y pidiéndoles que hagan clic en las URL de caché de Google AMP que redirigen a los usuarios a una página de destino intermedia. Lo que hace la página es inspeccionar la cadena User-Agent para determinar si el sistema operativo es Windows y, de ser así, aprovechar el controlador de protocolo search-ms: URI para mostrar un archivo de acceso directo de Windows (LNK) que utiliza un Adobe Acrobat Reader para hacerse pasar por un archivo PDF en un intento de engañar a la víctima para que lo inicie. «Si se ejecuta el LNK, invocará PowerShell para ejecutar Python.exe desde un tercer recurso compartido WebDAV en el mismo túnel (\library\), pasando un script de Python en un cuarto recurso compartido (\resource\) en el mismo host como argumento», dijeron los investigadores de Proofpoint Tommy Madjar, Pim Trouerbach y Selena Larson. «Esto hace que Python ejecute el script sin descargar ningún archivo en la computadora, y las dependencias se cargan directamente desde el recurso compartido WebDAV». El script de Python está diseñado para recopilar información del sistema y enviar los datos en forma de una cadena codificada en Base64 a un dominio controlado por el actor, después de lo cual muestra un PDF señuelo al usuario y descarga un archivo ZIP protegido con contraseña desde OpenDrive. El archivo ZIP, por su parte, contiene dos archivos, un ejecutable legítimo «CiscoCollabHost.exe» que es susceptible a la carga lateral de DLL y un archivo DLL malicioso «CiscoSparkLauncher.dll» (es decir, Voldemort) que se carga lateralmente. Voldemort es una puerta trasera personalizada escrita en C que viene con capacidades para recopilar información y cargar cargas útiles de la siguiente etapa, con el malware utilizando Google Sheets para C2, exfiltración de datos y ejecución de comandos de los operadores. Proofpoint describió la actividad como alineada con amenazas persistentes avanzadas (APT), pero con «vibraciones de cibercrimen» debido al uso de técnicas populares en el panorama del crimen electrónico. «Los actores de amenazas abusan de las URI de esquema de archivo para acceder a recursos de intercambio de archivos externos para la preparación de malware, específicamente WebDAV y Server Message Block (SMB). Esto se hace utilizando el esquema ‘file://’ y apuntando a un servidor remoto que aloja el contenido malicioso», dijeron los investigadores. Este enfoque ha sido cada vez más frecuente entre las familias de malware que actúan como intermediarios de acceso inicial (IAB), como Latrodectus, DarkGate y XWorm. Además, Proofpoint dijo que pudo leer el contenido de Google Sheet, identificando un total de seis víctimas, incluida una que se cree que es un sandbox o un «investigador conocido». La campaña ha sido calificada de inusual, lo que aumenta la posibilidad de que los actores de amenazas lancen una red amplia antes de centrarse en un pequeño grupo de objetivos. También es posible que los atacantes, probablemente con distintos niveles de experiencia técnica, planearan infectar varias organizaciones. «Si bien muchas de las características de la campaña se alinean con la actividad de amenazas cibernéticas, evaluamos que es probable que se trate de una actividad de espionaje realizada para respaldar objetivos finales aún desconocidos», dijeron los investigadores. «La amalgama Frankensteiniana de capacidades inteligentes y sofisticadas, combinada con técnicas y funcionalidades muy básicas, dificulta la evaluación del nivel de capacidad del actor de la amenaza y la determinación con alta confianza de los objetivos finales de la campaña». El desarrollo se produce después de que Netskope Threat Labs descubriera una versión actualizada de Latrodectus (versión 1.4) que viene con un nuevo punto final C2 y agrega dos nuevos comandos de puerta trasera que le permiten descargar shellcode de un servidor específico y recuperar archivos arbitrarios de una ubicación remota. «Latrodectus ha estado evolucionando bastante rápido, agregando nuevas características a su carga útil», dijo el investigador de seguridad Leandro Fróes. «La comprensión de las actualizaciones aplicadas a su carga útil permite a los defensores mantener los canales automatizados configurados correctamente, así como utilizar la información para seguir buscando nuevas variantes». ¿Le resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.