มัลแวร์ชื่อ “โวลเดอมอร์ต” โจมตีฝรั่งเศส

เมื่อต้นเดือนสิงหาคม 2024 นักวิจัย ProofPoint ได้ตรวจพบมัลแวร์ตัวใหม่ ไวรัสนี้ได้รับการตั้งชื่อว่า "โวลเดอมอร์ต" โดยอ้างอิงถึงความเลวร้ายครั้งใหญ่จากเทพนิยายแฮร์รี่ พอตเตอร์ โดยอาชญากรไซเบอร์ที่อยู่เบื้องหลังปฏิบัติการดังกล่าว จากการสืบสวนของบริษัทรักษาความปลอดภัยแห่งแคลิฟอร์เนีย พบว่ามีเรื่องใหญ่มากปฏิบัติการสอดแนม-

ในตอนแรกแฮกเกอร์เริ่มต้นจากการแย่งชิง“ตัวตนของหน่วยงานด้านภาษีของรัฐบาลในยุโรป เอเชีย และสหรัฐอเมริกา”- ตั้งแต่เริ่มมีการระบุกิจกรรมที่เป็นอันตรายกว่า 70 องค์กรทั่วโลกถูกแย่งชิง ในช่วงเริ่มต้นของแคมเปญ ProofPoint จะบันทึกข้อความสองสามร้อยข้อความต่อวัน อาชญากรไซเบอร์ก้าวทันอย่างรวดเร็ว เมื่อวันที่ 17 สิงหาคม แฮกเกอร์ส่งอีเมลเกือบ 6,000 ฉบับภายใน 24 ชั่วโมง

อ่านเพิ่มเติม:แฮกเกอร์ใช้ประโยชน์จากการเริ่มต้นปีการศึกษาเพื่อขโมยข้อมูลส่วนบุคคลของคุณอย่างไร

อัปเดต “ข้อมูลภาษี” ของคุณ

ในฝรั่งเศส โจรสลัดได้เลือกที่จะสวมรอยเป็นผู้อำนวยการทั่วไปของการคลังสาธารณะหน่วยงานที่รับผิดชอบจัดเก็บภาษีและเงินสมทบประกันสังคม แฮกเกอร์จะติดต่อเหยื่อทางอีเมล อีเมล์แจ้งว่า“ในการอัปเดตอัตราภาษีและระบบภาษีที่บังคับใช้ จำเป็นต้องตรวจสอบข้อมูลภาษีของคุณ”- ผู้โจมตีขอให้เหยื่อกรุณาอัพเดตข้อมูลของพวกเขา“ข้อมูลส่วนบุคคลและข้อมูลภาษีโดยเร็วที่สุด”-

“การอัปเดตนี้จำเป็นสำหรับการดำเนินการที่ราบรื่นในการประกาศของคุณและการคำนวณภาระภาษีของคุณอย่างแม่นยำ”อธิบายอีเมลหลอกลวงเพื่อผลักดันเป้าหมายให้ปฏิบัติตาม

ผู้ใช้อินเทอร์เน็ตจะต้องอัปเดตข้อมูลภาษีของตนดาวน์โหลดไฟล์แนบซึ่งมาพร้อมกับอีเมล ไม่น่าแปลกใจเลยที่เอกสารจะส่งผลให้มีการดาวน์โหลดมัลแวร์โวลเดอมอร์ตลงในคอมพิวเตอร์ของคุณ โดยพื้นฐานแล้ว จะใช้ตัวจัดการโปรโตคอล URI “search-ms:” เพื่อเปิดไฟล์ออนไลน์ที่รับผิดชอบในการผลักดันมัลแวร์ “search-ms:” ที่ติดตั้งใน Windows จะเปิดตัวการค้นหาที่กำหนดเองบนพีซี ทำให้ค้นหาไฟล์หรือข้อมูลในเครื่องได้ง่าย เครื่องมือนี้ถูกแฮกเกอร์นำไปใช้ในทางที่ผิดอย่างหนาแน่น ตามการยอมรับของ Microsoft โปรโตคอลก็มีตัวอย่างถูกแฮกเกอร์ชาวรัสเซียจาก APT28 โจมตี-

“โดยทั่วไปแล้วแฮกเกอร์ใช้โปรโตคอลการค้นหาของ Windows (search-ms) ในทางที่ผิดเพื่อแสดงไฟล์ที่โฮสต์บนเครื่องระยะไกลภายในเครื่องในโฟลเดอร์ เทคนิคนี้มักใช้เพื่อปรับใช้โทรจันการเข้าถึงระยะไกลต่างๆ », บันทึก ProofPoint

Google ชีตเป็นเซิร์ฟเวอร์ควบคุม

โดยปกติอาชญากรไซเบอร์จะใช้เซิร์ฟเวอร์คำสั่งและการควบคุมเพื่อสื่อสารกับอุปกรณ์ที่ติดมัลแวร์ ในกรณีนี้ก็คือGoogle ชีตสเปรดชีตออนไลน์อันโด่งดังซึ่งถูกเปลี่ยนมาทำหน้าที่เป็นเซิร์ฟเวอร์ หากต้องการรับคำแนะนำ ไวรัสจะเชื่อมต่อกับบริการสเปรดชีต นี่เป็นขั้นตอนที่ผิดปกติมาก

เมื่อปรากฏบนคอมพิวเตอร์เป้าหมายและเชื่อมต่อกับชีตแล้ว โวลเดอมอร์ตสามารถทดสอบการเชื่อมต่อกับเซิร์ฟเวอร์ แสดงรายการและดัชนีไฟล์ในระบบ ดาวน์โหลดหรือส่งไฟล์ ดำเนินการคำสั่ง หยุดชั่วคราว หรือปิดระบบโดยสิ้นเชิง เห็นได้ชัดว่านี่คือเวลาที่แฮกเกอร์ได้รับสิ่งที่พวกเขาต้องการในคอมพิวเตอร์: ข้อมูลที่เป็นความลับ

การรณรงค์จารกรรมที่ได้รับทุนสนับสนุนจากรัฐ

ในช่องมองภาพของสายลับ เราพบโดยพื้นฐานแล้วบริษัทประกันภัย- ตามข้อมูลของ ProofPoint โวลเดอมอร์ตได้รับการออกแบบให้เข้าควบคุมข้อมูลที่บริษัทบางแห่งถือครองอยู่ ไวรัสยังมุ่งเป้าไปที่บริษัทต่างๆ ในภาคการบิน การขนส่ง และการศึกษา ProofPoint เชื่อว่าการโจมตีทางไซเบอร์น่าจะควบคุมโดยแก๊งโจรสลัดที่ได้รับทุนสนับสนุนจากรัฐบาล-

อย่างไรก็ตาม ในขณะนี้ นักวิจัยยังไม่สามารถติดตามกลับไปยังกลุ่มเล็กๆ กลุ่มใดกลุ่มหนึ่งได้ ตามรายงานของเพื่อนร่วมงานของเราจากคอมพิวเตอร์ส่งเสียงบี๊บแก๊งที่รู้จักกันในชื่อรหัส APT41 ได้สร้างชื่อให้กับตัวเองแล้วโดยใช้ประโยชน์จาก Google ชีตในอดีต กลุ่มนี้ได้รับการสนับสนุนจากรัฐจีน โดยอาศัยเครื่องมือโอเพ่นซอร์สที่เรียกว่า “Google Command and Control” ซึ่งออกแบบมาเพื่อจี้บริการของ Google ที่ถูกกฎหมาย เช่น Google ชีต, Google ฟอร์ม หรือ Google ไดรฟ์ เพื่อวัตถุประสงค์ที่เป็นอันตราย เป็นที่รู้จักจากการกำหนดเป้าหมายอุตสาหกรรมในสหรัฐอเมริกา เอเชีย และยุโรปมานานกว่าทศวรรษ

🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-

แหล่งที่มา : พรู๊ฟพอยต์