Sebuah malware baru sedang menyebarkan backdoor yang belum berhasil didokumentasikan bernama “Voldemort” ke organisasi-organisasi di seluruh dunia termasuk di wilyah Asia, dengan berpura-pura menjadi otoritas pajak dari berbagai wilayah. Sejak 5 Agustus 2024, lebih dari 20.000 email telah dikirimkan ke lebih dari 70 organisasi, dengan puncaknya mencapai 6.000 email dalam satu hari. Sektor-sektor yang terkena dampak termasuk asuransi, penerbangan, transportasi, dan pendidikan. Tujuan kampanye ini, kemungkinan besar spionase siber, melibatkan email phishing yang mengarahkan korban ke tautan berbahaya dan dapat memicu rantai infeksi yang canggih.
Serangan ini menggunakan metode menyerupai email informasi pajak palsu yang mengarah ke halaman dengan tombol “Klik untuk melihat dokumen”. Tergantung pada sistem operasi korban, tombol ini akan menjalankan skrip berbahaya atau menampilkan PDF yang tidak berbahaya. Skrip tersebut, yang dijalankan melalui URI search-ms yang menipu, mengumpulkan informasi sistem dan memuat Voldemort menggunakan DLL side-loading.
Voldemort merupakan backdoor berbasis C yang serbaguna dan melakukan berbagai tindakan seperti manajemen file dan kontrol sistem. Ia secara unik memanfaatkan Google Sheets untuk perintah dan kontrol, hal ini membuat deteksi dan pemblokiran menjadi lebih sulit. Setiap sistem yang terinfeksi menulis data ke sel Google Sheets yang berbeda, menggunakan API Google dengan kredensial terenkripsi untuk komunikasi. Teknik ini mengurangi kemungkinan deteksi dan dapat terintegrasi dengan mulus ke dalam operasi perusahaan reguler.
