Los investigadores de ciberseguridad de Proofpoint ha identificado una nueva campaña de ataques capaz de distribuir malware personalizado. Según comparten en su página web, el actor de amenazas llamó al virus informático ‘Voldemort‘. Lo hizo basándose en los nombres de archivos internos y las cadenas utilizadas.

Aunque el troyano lleve el nombre del que «no debe ser nombrado», no tiene nada que ver con la aclamada saga de magia y hechicería, Harry Potter. El equipo de investigación de Proofpoint, que supo de Voldemort en agosto de 2024, aclara que los ciberdelincuentes se hacen pasar por agencias tributarias de Europa, Asia y Estados Unidos.

Queda mucho análisis por delante, pero los expertos en ciberseguridad creen que es probable que se trate de una amenaza persistente avanzada (APT). La estafa tendría fines de espionaje y no económicos, tal y como han demostrado en el estudio exhaustivo que han hecho del malware. Voldemort es capaz de recopilar información y entregar payloads adicionales.

Los de Proofpoint no se aventuran a dar por concluidas son investigaciones. En su publicación, señalan que no cuentan con la información suficiente para atribuir los mensajes fraudulentos a un grupo delictivo en específico. Pero sí que dan detalles de lo que han podido observar hasta el momento.

 

Voldemort está presente en 20.000 mensajes fraudulentos

La primera vez que detectaron a Voldemort en una actividad maliciosa fue a principios de agosto de 2024. Desde entonces, los investigadores de Proofpoint ya han hallado más de 20.000 mensajes con el malware. Para engañar a más personas, los ciberdelincuentes suplantan la identidad de autoridades fiscales europeas, asiáticas y estadounidenses. De momento, se han detectado más de 70 organizaciones de todo el mundo afectadas.

El autor (o autores) de la amenaza utiliza una cadena de ataque con múltiples métodos de mando y control (C2). Dentro de este tipo de ciberataque, se encuentra el uso de las hojas de cálculo de Google Sheets o archivos de búsqueda guardados en un recurso compartido externo, por ejemplo. Según aclaran en Proofpoint, estas estafas son poco comunes en la actualidad, por lo que es posible que haya quien haya bajado la guardia.

«Estos atacantes, aunque muestran algunas técnicas populares en ciberdelincuencia, utilizan malware personalizado con funciones inusuales de las que no se suele abusar en campañas generalizadas, además de apuntar a objetivos muy específicos que no se ven en actividades maliciosas con motivación financiera -explican en la investigación de Proofpoint-. Estamos ante una campaña inusual con una amalgama frankensteiniana de capacidades inteligentes y sofisticadas, junto con técnicas y funcionalidades muy básicas, lo cual dificulta evaluar las capacidades de los ciberdelincuentes y determinar los objetivos finales. Aunque su actividad parece alinearse con el espionaje, es posible que en un futuro las amenazas asociadas puedan cambiar».

Para resultar más creíbles, los mensajes que difundían los estafadores se enviaban desde cuentas que suplantaban la identidad de agencias tributarias. Las supuestas autoridades fiscales notificaban a los usuarios de varios cambios en sus declaraciones de impuestos. Además, los investigadores de Proofpoint descubrieron que los mensajes estaban personalizados y escritos en el idioma de la organización suplantada, por lo que era muy fácil caer en la trampa.

El equipo de investigación asegura que los emails se enviaron desde dominios presuntamente comprometidos y los ciberdelincuentes incluían el dominio real de la agencia tributaria en la dirección. Por ejemplo, un mensaje en el que suplantaban la identidad del IRS de EEUU aparecía como remitente: «Federal IRS >».

Mensaje fraudulento voldemort malware

Los ciberdelincuentes que han estado utilizando Voldemort para sus ataques de espionaje se dirigían a distintos sectores. De entre las compañías más atacadas por «el que no debe ser nombrado», destaca casi una cuarta parte que eran marcas de seguros. También sobresalen entidades aeroespaciales, de transporte y universitarias.

 

Fuente -> ADSLZone