Malware cuyo nombre no debe ser mencionado: Voldemort ataca sistemas en todo el mundo

En agosto de este año, investigadores de Proofpoint descubrieron una campaña inusual para la propagación de un malware llamado por los delincuentes «Voldemort», en una clara referencia al universo mágico de J.K. Rowling. Se sospecha que este malware está involucrado en espionaje y tiene capacidades para recopilar información y descargar componentes adicionales.

La campaña de malware detectada se distingue por métodos inusuales, incluyendo el uso de Google Sheets para proporcionar funcionalidad de comando y control (C2), algo que rara vez se ve en operaciones de este tipo. Los atacantes se hicieron pasar por autoridades fiscales de varios países, incluyendo EE. UU., Reino Unido, Francia, Alemania, Italia, India y Japón, y enviaron notificaciones falsas sobre cambios fiscales a organizaciones en todo el mundo.

Desde el 5 de agosto de 2024, los delincuentes enviaron más de 20,000 mensajes a 70 organizaciones en todo el mundo. En el pico del ataque, el 17 de agosto, la cantidad de mensajes aumentó bruscamente a 6,000 por día. El objetivo principal de los atacantes, según Proofpoint, es la recolección de datos de inteligencia, aunque los objetivos finales aún no están claros.

«Voldemort» está escrito en lenguaje C y utiliza varios métodos para ocultar su actividad, incluyendo disfrazarse como archivos comunes y ejecutarse a través de PowerShell sin guardarse en la computadora de la víctima. Es interesante notar que el malware utiliza herramientas legítimas, como «CiscoCollabHost.exe», para llevar a cabo sus funciones.

La campaña se caracteriza por el uso de técnicas típicas tanto de ciberespionaje como de cibercriminalidad. Los delincuentes emplean técnicas como el abuso de archivos con la extensión «.search-ms» para ocultar su actividad y engañar a las víctimas sobre la fuente de la amenaza.

A pesar de la escala y la complejidad del ataque, Proofpoint no ha podido determinar con alta certeza a qué grupo pertenece esta actividad. Los expertos creen que podría ser un grupo nuevo o poco conocido, con habilidades tanto básicas como avanzadas.

El malware «Voldemort» utiliza activamente Google Sheets para intercambiar datos entre los sistemas infectados y el servidor de comando, lo que lo hace único en su tipo. Al mismo tiempo, el uso de estas herramientas destaca que incluso los grupos de espionaje pueden emplear métodos característicos de los cibercriminales, lo que complica su detección y atribución.

Los expertos recomiendan a las organizaciones tomar medidas para fortalecer la seguridad, incluyendo la limitación del acceso a repositorios de archivos externos y el bloqueo de conexiones de red sospechosas.