Espionaje al estilo Harry Potter: así es Voldemort, el malware que se hace pasar por agencias tributarias de Europa, Asia y EEUU
Un nuevo malware con nombre Voldemort está utilizando tácticas de phishing para hacerse pasar por autoridades fiscales y robar información. Esta campaña de ciberespionaje ha afectado a más de 70 organizaciones en todo el mundo.
El mundo de la ciberseguridad parece que tiene un nuevo integrante en la familia. Proofpoint, empresa del sector, ha destapado una campaña de ciberataques que parece sacada de una película.
Los propios ciberdelincuentes, tal y como nos comenta el equipo de investigación de Proofpoint en una entrevista para Computer Hoy han sido los que han bautizado al malware utilizado como Voldemort, en un guiño al mítico villano de Harry Potter, y su modus operandi seguro que no te va a dejar indiferente.
Esta campaña, detectada a principios de agosto de 2024, no es su típico intento de estafa financiera. Los ciberdelincuentes están jugando a ser otras personas, haciéndose pasar por autoridades fiscales de Europa, Asia y Estados Unidos. Su objetivo: infiltrarse en más de 70 organizaciones de todo el mundo, con un enfoque particular en compañías de seguros, entidades aeroespaciales, de transporte y universidades.
Los expertos describen esta campaña como una "amalgama frankensteiniana" de técnicas sofisticadas y básicas. Esta combinación es el gran problema de todo y hace que sea difícil determinar las verdaderas capacidades y objetivos de los atacantes. ¿Están tras información sensible? ¿O es solo el inicio de algo más grande?
"La 'amalgama frankensteiniana' se refiere a que esta amenaza combina capacidades inteligentes y sofisticadas con técnicas y funcionalidades muy básicas"
Lo que hace que Voldemort sea tan llamativo es su sofisticación. Utiliza métodos de control y comando (C2) poco comunes, como las hojas de cálculo de Google Sheets, algo que parece más propio de una película de espías que de un ciberataque al uso. Por así decirlo, estas personas o grupos han decidido tirar por herramientas realmente básicas que optar por algo más creativo.
La campaña ha sido tan meticulosa que incluso han personalizado los correos electrónicos de phishing en el idioma de cada autoridad fiscal suplantada.
El problema es que los investigadores de Proofpoint se han encontrado con un gran rompecabezas. Por un lado, el malware tiene capacidades avanzadas de recopilación de información y entrega de payloads adicionales. Por otro, algunas de sus técnicas son muy básicas. Nada tiene demasiado sentido.
"Es posible que se utilizara un gran número de correos electrónicos para ocultar un conjunto más reducido de objetivos reales", sugiere el equipo, "pero también puede que los ciberdelincuentes quisieran infectar realmente a docenas de organizaciones e incluso que trabajaran múltiples atacantes con distintos niveles de experiencia".
Algo que realmente llama la atención es que, a pesar de la escala de la operación, —más de 20.000 mensajes enviados— Proofpoint no puede atribuir con 100% seguridad estos ataques a un grupo específico. Han ido dejando pistas, pero siempre han conseguid mantener su identidad en las sombras.
"Mientras que los señuelos de la campaña son más típicos de un agente de amenazas criminales, las características incluidas en el 'backdoor' se asemejan más a las que suelen encontrarse en las herramientas utilizadas para el ciberespionaje", nos comentan.
Por ahora, la comunidad de ciberseguridad está en alerta máxima. Mientras Voldemort sigue por ahí haciendo de las suyas, la pregunta que todos se hacen es: ¿Cuál será su próximo movimiento? Y más importante aún, ¿quién está realmente detrás de esta operación de ciberespionaje?
Otros artículos interesantes:
Carolina González
Redactora
Carolina González, redactora de actualidad, reportajes a fondo, análisis de todo tipo de productos y vídeos para el canal de Youtube.