มัลแวร์ใหม่ “Voldemort” ละเมิด Google Sheets ขโมยข้อมูลจากเครื่อง

จากรายงานล่าสุดของ Proofpoint นักวิจัยได้ชี้ให้เห็นถึงมัลแวร์ตัวใหม่ที่กำลังแพร่ระบาด โดยเป็น Backdoor ที่ห้ามเอ่ยนาม หรือ “Voldemort” ที่ได้ปลอมตัวเป็นหน่วยงานด้านภาษีจากสหรัฐอเมริกา ยุโรป และเอเชีย ซึ่งกำลังเริ่มโจมตีไปยังองค์กรทั่วโลกแล้ว 

โดย Proofpoint เผยว่าแคมเปญการโจมตีนั้นเริ่มต้นมาตั้งแต่วันที่ 5 สิงหาคม 2024 ที่ผ่านมา ซึ่งมีการเผยแพร่ผ่านทางอีเมลไปมากกว่า 20,000 ฉบับไปยังองค์กรมากกว่า 70 แห่งทั่วโลกเป็นที่เรียบร้อย โดยกว่าครึ่งนั้นมักจะเป็นองค์กรที่อยู่ในอุตสาหกรรมประกัน การบิน คมนาคม และการศึกษา 

แม้ว่าภายใต้แคมเปญการโจมตีนี้จะไม่ได้เป็นที่แน่ชัดว่า Threat Actor นั้นเป็นใคร แต่ Proofpoint นั้นเชื่อว่าวัตถุประสงค์นั้นยังเป็นเรื่องการจารกรรมข้อมูลทางไซเบอร์ 

โดยผู้โจมตีจะสร้างอีเมล Phishing ที่สอดคล้องกับอุตสาหกรรมเป้าหมายขององค์กรด้วยการอ้างเป็นเจ้าหน้าที่จัดเก็บภาษีของประเทศ เพื่อให้อัปเดตข้อมูลภาษีและลิงก์เอกสารต่าง ๆ ซึ่งเมื่อคลิกลิงก์เข้าไป หากผู้ใช้เป็น Windows จะพาไปที่หน้าเว็บเพื่อดาวน์โหลดไฟล์ที่ปลอมมาเป็น PDF หากแต่จะมี Script ที่จะไปดาวน์โหลด Voldemort ผ่าน DLL มาอีกที

และ Voldemort ที่เป็น Backdoor ภาษา C ที่สามารถรันคำสั่งได้หลากหลายแบบนี้เอง จะไปละเมิดใช้งาน Google Sheets เป็นเหมือน Command & Control Center เพื่อควบคุมและขโมยข้อมูลออกไปจากเครื่องที่มีมัลแวร์นั้น ๆ อยู่

สำหรับรายละเอียดเพิ่มเติม สามารถอ่านได้ที่รายงานของทาง Proofpoint ซึ่งทางบริษัทแนะนำให้จำกัดการเข้าถึงบริการ File-Sharing ภายนอก ให้ไปยังเครื่อง Server ที่ไว้ใจได้เท่านั้น รวมทั้งปิด Connection ไปยัง TryCloudflare ถ้าหากไม่ได้จำเป็นต้องใช้งานจริง พร้อมกับตรวจจับพฤติกรรมที่ต้องสงสัยในการรัน PowerShell ด้วย

ที่มา: https://www.bleepingcomputer.com/news/security/new-voldemort-malware-abuses-google-sheets-to-store-stolen-data/