top of page
Buscar

"Voldemort" sale del mundo de Harry Potter y se convierte en un peligroso virus de ciberespionaje.

  • Foto del escritor: Nuanet
    Nuanet
  • 23 sept 2024
  • 3 Min. de lectura

Actualizado: 24 sept 2024

Su principal objetivo no es el robo financiero, sino realizar espionaje y robar datos de empresas internacionales.


De los libros y películas de la saga de Harry Potter, Voldemort sale de la fantasía y se convierte en un malware en la vida real. Protagonizando una sofisticada campaña de ciberespionaje, Voldemort ha puesto en problemas a más de 70 organizaciones en todo el mundo, desde empresas del sector aeroespacial hasta universidades, pasando por aseguradoras y empresas de transporte.



El virus informático ha sido identificado por la empresa de ciberseguridad Proofpoint, que advierte sobre las tácticas que utilizan los delincuentes para infiltrarse en los sistemas de las organizaciones, haciéndose pasar por autoridades fiscales de diferentes países. Lo interesante del ataque es que no tiene como objetivo principal el dinero, sino algo que podría ser incluso más valioso: información confidencial y estratégica.


¿Cómo es el modo operandi de Voldemort?


Su forma de atacar es una mezcla de técnicas avanzadas y sencillas. Los atacantes inician la campaña enviando correos de phishing que parecen provenir de autoridades fiscales legítimas, como las agencias tributarias de Estados Unidos, Europa y Asia. Estos correos están personalizados según la ubicación geográfica de la víctima y contienen enlaces que supuestamente dirigen a información fiscal actualizada.


Cuando los destinatarios hacen clic en el enlace, son redirigidos a una página falsa, alojada en un servicio de alojamiento gratuito llamado "InfinityFree", que utiliza una URL de caché de Google AMP para parecer más auténtica. En esta página, se les presenta un botón que indica “Haz clic para ver el documento”. Si el usuario está en un sistema operativo Windows y accede a este botón, el malware solicita la descarga de un archivo LNK oculto, que simula ser un PDF legítimo, pero que, en realidad, es un acceso directo malicioso.


Al abrir el archivo, un script en Python se ejecuta silenciosamente en segundo plano, mientras el usuario visualiza un documento PDF legítimo que no genera sospechas. Mientras tanto, el malware aprovecha este momento de distracción para descargar una DLL maliciosa que instala a Voldemort en la memoria del sistema. Este ataque es de tipo fileless, es decir, no utiliza archivos convencionales que puedan ser detectados fácilmente por los antivirus tradicionales, lo que complica su detección y eliminación.


Una vez que el sistema ha sido infectado, Voldemort utiliza Google Sheets como su servidor de comando y control (C2), una táctica inusual en este tipo de ataques. A través de la API de Google, el malware envía y recibe instrucciones, y almacena los datos robados de forma cifrada, haciendo que su detección sea aún más difícil para las herramientas de seguridad convencionales.



Sectores y organizaciones afectadas


Aunque el malware ha sido distribuido en más de 20.000 correos electrónicos, los ataques no se dirigen a usuarios individuales. Este malware esta principalmente dirigido a organizaciones y no a individuos.


El objetivo final de Voldemort no es el robo financiero directo, sino la recopilación de información sensible que puede incluir datos confidenciales de la empresa, planes estratégicos, secretos comerciales o incluso innovaciones tecnológicas. Estos datos pueden ser utilizados para espionaje corporativo, lo que los convierte en un activo de gran valor en manos de competidores o actores malintencionados.



¿Cómo evitar ser atacado por Voldemort u otro malware?


Debido a que Voldemort es un malware que no deja rastros físicos en el sistema, los antivirus convencionales pueden tener dificultades para detectarlo. Por esta razón, Proofpoint recomienda una serie de medidas para minimizar los riesgos y proteger a las organizaciones:


  • Reinstalar Windows en caso de que el sistema haya sido comprometido.

  • Limitar el acceso a servicios de intercambio de archivos externos.

  • Bloquear conexiones a TryCloudflare si no son necesarias.

  • Monitorizar PowerShell para detectar cualquier actividad sospechosa en los sistemas.


Algunas recomendaciones para prevenir posibles ataques es evitar descargar archivos o documentos de remitentes desconocidos o que no formen parte de la empresa. Además, para evitar caer en ataques de phishing, se aconseja siempre escribir directamente la dirección web en el navegador en lugar de seguir enlaces desde correos electrónicos.





Fuente: infobae.com



Comments

bottom of page