Voldemort, el nuevo malware que se hace pasar por Hacienda en medio mundo

Hasta la fecha se habrían difundido más de 20.000 correos electrónicos a decenas de organizaciones simulando ser agencias tributarias.

Alberto Payo

Periodista

Guardar

Lord Voldemort, el villano de Harry Potter.
Lord Voldemort, el villano de Harry Potter.

Investigadores de seguridad han encontrado una nueva campaña de malware que propaga una puerta trasera a organizaciones de todo el mundo.

Lo hace simulando comunicaciones de agencias tributarias de Europa, EE.UU. y Asia. Y su nombre haría temblar a Harry Potter y sus amigos (además de a los que temen esos mensajes ocasionales de Hacienda). A esta amenaza la han bautizado como 'Voldemort'. 

Esta campaña arrancó el pasado 5 de agosto y hasta el momento habría difundido más de 20.000 emails a más de 70 organizaciones, llegando a 6.000 correos en un solo día en el pico de su actividad, según recoge un informe de Proofpoint.

El phising en cuestión señala que hay información fiscal actualizada y pide a los destinatarios que pinchen en enlaces a documentos asociados. 

Al hacer click en ellos los destinatarios acceden a una página de destino en alojada en InfinityFree, que utiliza las URL de caché de Google AMP para redirigir a la víctima a una página con un botón que invita a pinchar en el documento. 

Sin embargo, cuando se hace click en ese botón se ofrece contenido malicioso. El explorador de Windows se activa para mostrar un archivo LNK o ZIP disfrazado de PDF. 

Desde Bleeping Computer señalan que Voldemort es una puerta trasera basada en C que admite una amplia gama de comandos y acciones de administración de archivos, incluida la exfiltración, la introducción de nuevas cargas útiles en el sistema y la eliminación de archivos.

Una característica notable de esta amenaza con el nombre del archienemigo del mago más famoso de Howgarts es que se sirve de Google Sheets como servidor de comando y control (C2), enviándolo para obtener nuevos comandos para ejecutar en el dispositivo infectado y como repositorio de datos robados.

Cada máquina infectada escribe sus datos en celdas específicas dentro del programa Google Sheets, que pueden designarse mediante identificadores únicos como UUID, lo que garantiza el aislamiento y una gestión más clara de los sistemas violados.

¿Una amenaza de piratas chinos?

Por el momento se desconoce quién se encuentra detrás de esta campaña, pero la firma de seguridad indica que más de la mitad de las organizaciones que han sido atacadas pertenecen a los sectores de seguros, aeroespacial, transporte y educación. Se sospecha que el objetivo tras la misma sería el ciberespionaje.

No obstante, el año pasado el grupo de amenazas persistentes avanzadas chino APT41 estuvo usando Google Sheets como un servidor de comando y control.