Kampanye malware baru dilaporkan mendatangkan malapetaka pada ribuan sistem Windows di seluruh dunia. Sebuah pintu belakang tidak berdokumen yang disebut “Voldemort” menargetkan organisasi-organisasi dari Amerika Utara, Eropa dan Asia dengan meniru agen pajak.
Menurut laporan terbaru oleh Poin buktiKampanye ini dimulai bulan lalu dan mengirimkan 20.000 email yang menargetkan lebih dari 70 perusahaan, setengahnya bergerak di sektor-sektor seperti dirgantara, asuransi, pendidikan dan transportasi. Puncaknya, kampanye ini mengirimkan 6.000 email dalam satu hari.
Meskipun pelaku ancaman di balik kampanye ini masih belum diketahui, tampaknya tujuan utama mereka adalah melakukan spionase dunia maya.
Bagaimana cara kerja Voldemort?
Menurut Poin buktiPenyerang memulai dengan mengirimkan email phishing menggunakan informasi yang tersedia secara publik tentang suatu organisasi. Berdasarkan lokasi geografis, email tersebut akan mereplikasi otoritas pajak negara tersebut dengan tautan ke informasi pajak terkini.
Saat pengguna mengklik link tersebut, penerima dibawa ke halaman arahan yang dihosting di “InfinityFree”, yang menggunakan URL cache Google AMP untuk mengarahkan korban ke halaman baru dengan tombol “klik untuk melihat dokumen”.
Jika korbannya menggunakan Windows, malware kemudian meminta pengguna untuk mengunduh file LNK tersembunyi yang disamarkan sebagai PDF palsu dengan panah pintasan di kiri bawah. Bagi yang bertanya-tanya, file LNK adalah jalan pintas untuk mengakses file, folder, dan situs web.
Berikut tampilan PDF palsu. (Sumber gambar: Titik Bukti)
Membuka PDF palsu akan menjalankan skrip Python yang menyembunyikan fungsionalitas latar belakangnya dengan menampilkan dokumen PDF, setelah itu skrip tersebut mengunduh DLL berbahaya untuk memuat Voldemort ke dalam memori.
Saat Voldemort menginfeksi suatu mesin, ia menggunakan Google Sheets sebagai server perintah dan kontrol untuk mendapatkan perintah baru dan menyimpan data Anda yang dicuri. Malware ini juga menggunakan Google API untuk berinteraksi dengan Google Spreadsheet melalui saluran terenkripsi, sehingga lebih sulit dideteksi atau ditandai oleh alat keamanan.
Itu juga menunjukkan umpan PDF kepada pengguna. (Sumber gambar: Titik Bukti)
Bagaimana cara melindungi diri saya dari Voldemort?
Karena ini adalah malware tanpa file, antivirus Anda mungkin tidak menangkap apa pun, jadi jika Anda tidak sengaja membuka file tersebut, cara terbaik adalah membersihkan instalasi Windows Anda. Alternatifnya, Proofpoint menyarankan Anda membatasi akses ke layanan berbagi file eksternal, memblokir koneksi ke TryCloudflare jika Anda tidak membutuhkannya, atau memantau PowerShell untuk aktivitas mencurigakan.
Namun, karena pelaku ancaman di balik Voldemort saat ini menargetkan organisasi, kecil kemungkinan Anda akan menerima email phishing di akun pribadi Anda. Namun mereka yang memiliki alamat email tempat kerja harus menghindari mengunduh dokumen atau file dari pengirim yang tidak dikenal atau orang di luar organisasi mereka.
