Tal parece que Voldemort se ha cansado de perseguir a Harry Potter, protagonista de la exitosa saga de libros y películas, y ahora decidió transformarse en un peligroso virus que ya ha puesto en problemas a más de 70 organizaciones en todo el mundo: desde empresas del sector aeroespacial y universidades, hasta aseguradoras y compañías de transporte.
Este malware fue identificado por la firma de ciberseguridad Proofpoint, la cual advirtió sobre las tácticas que utilizan los delincuentes para infiltrarse en los sistemas de las organizaciones, haciéndose pasar por autoridades fiscales de diferentes países.
Según sus expertos, “Voldemort” no tiene como objetivo principal el dinero, sino algo que podría ser incluso más valioso: información confidencial y estratégica.
¿Cómo funciona? El modus operandi de este virus es una mezcla entre técnicas avanzadas y sencillas, pues los atacantes inician enviando correos maliciosos que, en primera instancia, parecen provenir de autoridades fiscales legítimas. Una vez que los destinatarios caen y hacen clic a un enlace, son redirigidos a una página web falsa, alojada en un servicio de alojamiento gratuito llamado InfinityFree, que suele utilizar una URL de caché de Google AMP para parecer más auténtica.
Ya en la página se les presentará a las víctimas un botón que indica “Haz clic para ver el documento”. Al abrir el archivo, un script en Python se ejecuta silenciosamente en segundo plano, mientras el usuario visualiza un documento PDF tan bien hecho que no genera sospecha alguna.
Durante esta distracción, el malware aprovechará para descargar una DLL maliciosa que instala “Voldemort” en la memoria del sistema, el cual recurrirá a Google Sheets como su servidor de comando y control (C2), una táctica inusual en este tipo de ataques virtuales.
A través de la API de Google, enviará y recibirá instrucciones, almacenando los datos robados de manera cifrada, haciendo que su detección sea aún más difícil para las herramientas de seguridad convencionales.
¡Ojo! Si bien “Voldemort” va dirigido principalmente a organizaciones y no a individuos en concreto, aquellos que utilicen correos corporativos deberán tener especial precaución, evitando la descarga de archivos o documentos de remitentes desconocidos o que no formen parte de la empresa.