Una nueva campaña de malware está propagando una puerta trasera inédita llamada "Voldemort", que está afectando a organizaciones en todo el mundo, haciéndose pasar por agencias tributarias de EE. UU., Europa y Asia. Esta campaña, que comenzó el 5 de agosto de 2024, ha distribuido más de 20.000 correos electrónicos dirigidos a más de 70 organizaciones, alcanzando su pico con 6.000 correos en un solo día.
Más de la mitad de las organizaciones atacadas pertenecen a los sectores de seguros, aeroespacial, transporte y educación. Aunque aún se desconoce quién está detrás de esta campaña, se cree que el objetivo principal es el espionaje cibernético.
Los atacantes están enviando correos electrónicos de phishing que imitan a las autoridades fiscales locales, personalizando los mensajes según la ubicación de la organización objetivo utilizando información pública.
Estos correos fraudulentos afirman contener información fiscal actualizada e incluyen enlaces a documentos relacionados.
Cuando las víctimas hacen clic en el enlace, son dirigidas a una página alojada en InfinityFree que, a través de URL de caché de Google AMP, las redirige a un sitio con un botón que dice "Haga clic para ver el documento".
Al hacer clic en el botón, la página verifica si el navegador está en un dispositivo con Windows. Si es así, redirige al usuario a una URL tunelizada a través de TryCloudflare utilizando el protocolo de búsqueda de Windows (search-ms). Para los usuarios que no están en Windows, simplemente los lleva a una URL vacía de Google Drive que no contiene ningún contenido malicioso.
Si la víctima en Windows interactúa con el archivo search-ms, el Explorador de Windows se abre, mostrando un archivo LNK o ZIP disfrazado como un PDF.
El uso de la URI search-ms: ha ganado popularidad en campañas de phishing recientes porque, aunque el archivo está alojado en un recurso compartido WebDAV/SMB externo, se presenta como si estuviera localmente en la carpeta Descargas, lo que engaña a la víctima para que lo abra.
Cuando se ejecuta, se activa un script de Python desde un recurso compartido WebDAV sin necesidad de descargarlo en el dispositivo de la víctima. Este script recopila información del sistema para crear un perfil detallado del usuario, mientras muestra un PDF falso para distraer y ocultar la actividad maliciosa.
El script también descarga un ejecutable legítimo de Cisco WebEx (CiscoCollabHost.exe) junto con una DLL maliciosa (CiscoSparkLauncher.dll). Esta combinación permite cargar el malware Voldemort mediante una técnica conocida como carga lateral de DLL.
Podría interesarte leer: ¿Qué tipo de ingeniería social se dirige a los altos funcionarios?
Voldemort es una puerta trasera escrita en C que ofrece una amplia gama de comandos para administrar archivos y sistemas, incluyendo la exfiltración de datos, la introducción de nuevas cargas útiles en el sistema y la eliminación de archivos.
Algunas de las acciones que Voldemort puede realizar incluyen:
Una característica particularmente inquietante de Voldemort es su uso de Google Sheets como servidor de comando y control (C2). El malware se comunica con Google Sheets para recibir nuevos comandos y también lo utiliza como un depósito para almacenar los datos robados.
Cada máquina infectada escribe su información en celdas específicas dentro de una hoja de cálculo de Google, con identificadores únicos como UUID para mantener organizados y aislados los datos de diferentes sistemas comprometidos.
Voldemort interactúa con Google Sheets utilizando la API de Google, empleando un ID de cliente, un secreto y un token de actualización que están integrados y cifrados en su configuración. Este método proporciona un canal de comunicación confiable y disponible, mientras que al mismo tiempo, reduce la posibilidad de que las herramientas de seguridad detecten la actividad del malware. Dado que Google Sheets es comúnmente utilizado en entornos empresariales, bloquear el servicio no es una opción práctica.
No es la primera vez que se ve a un malware aprovechando Google Sheets de esta manera. En 2023, el grupo de hackers chino APT41 utilizó Google Sheets como servidor de comando y control mediante el kit de herramientas de equipo rojo GC2.
Para protegerse de amenazas como esta, es recomendable limitar el acceso a servicios de intercambio de archivos a servidores confiables, bloquear conexiones a TryCloudflare si no son necesarias, y monitorear cualquier ejecución sospechosa de PowerShell en los sistemas.