Farligt program sprids via mejlen - ser ut som Google-app

Mattias Svensson

11 veckor sedan

|

03/09/2024
Teknologi
Foto: Shutterstock
Foto: Shutterstock
Ett nytt skadligt program sprids genom phishing-mejl.

Det nya skadliga programmet, som fått namnet "Voldemort", har på senare tid orsakat oro genom att skicka över 20 000 mejl världen över i samband med phishing-attacker.

Upptäckt av IT-säkerhetsforskare vid Proofpoint den 5 augusti, har detta skadliga program visat sig vara särskilt svårfångat.

Voldemort" använder en sofistikerad taktik för att undvika upptäckt: det maskerar sin nätverkstrafik som legitim genom att använda Google Sheets som ett gränssnitt.

Denna metod gör att programvarans datakommunikation ser harmlös ut och kan därmed obemärkt passera förbi säkerhetsprogram.

Så sprids det

Det skadliga programmet distribueras via phishing-mejl som är utformade för att se ut som om de kommer från skattemyndigheter. Dessa mejl innehåller länkar till vad som verkar vara viktiga dokument, vilket lurar mottagaren att ladda ner en förklädd fil. När länken klickas på laddas en ZIP-fil som ser ut som en PDF ner automatiskt. Denna fil installerar sedan "Voldemort" i bakgrunden.

När "Voldemort" väl är aktiverat kan det stjäla känslig data, ladda ner ytterligare skadliga program eller till och med radera filer.

Enligt T-Online och Proofpoint är detta skadliga program främst inriktat på datastöld, vilket utgör allvarliga risker, särskilt för företag. Den stulna datan kan potentiellt äventyra nationell säkerhet.

Forskarna tror att "Voldemort"-kampanjen kan vara kopplad till en grupp med statlig anknytning och kan vara avsedd för spionage. Kombinationen av traditionella phishing-tekniker med den ovanliga användningen av Google Sheets tyder på att en välorganiserad grupp ligger bakom denna attack.

Så skyddar du dig mot "Voldemort"

För att skydda sig mot detta nya hot rekommenderar Proofpoint flera säkerhetsåtgärder:

  • Begränsa åtkomst: Begränsa åtkomsten till externa filöverföringstjänster.

  • Blockera anslutningar: Blockera anslutningar till TryCloudflare, en tjänst från Cloudflare som kan utnyttjas av angripare.

  • Övervaka PowerShell-skript: Håll uppsikt över misstänkta PowerShell-skript som kan användas för att automatisera och hantera system.

  • Använd "multi-factor authentication": Implementera detta för att lägga till extra säkerhetslager.