Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Voldemort: El Malware que se Hace Pasar por Agencias Tributarias

Escrito por Scarlet Mendoza | Sep 23, 2024 10:43:01 PM

¿Quién hubiera pensado que Voldemort, el villano más temido de Harry Potter, haría su aparición en el mundo real? Bueno, no literalmente, pero hay un malware que lleva su nombre y está causando estragos, haciéndose pasar por agencias tributarias en Europa, Asia y Estados Unidos. Su objetivo no es el control del mundo mágico, sino algo mucho más serio: tus datos personales y financieros. Este virus ha perfeccionado el arte del engaño y puede robar información con un simple clic.

Investigadores en ciberseguridad han identificado este virus informático, alertando sobre las tácticas que los delincuentes están usando para colarse en los sistemas de las organizaciones. Su estrategia es hacerse pasar por autoridades fiscales de varios países. Pero el objetivo de estos ataques no es solo el dinero, sino algo aún más valioso: información confidencial y estratégica.

 

¿Cómo funciona el malware Voldemort?

 

El malware Voldemort combina tácticas tanto simples como sofisticadas, lo que ha llevado a los expertos a describirlo como una especie de "Frankenstein" digital. El ataque comienza con una campaña de phishing: los ciberdelincuentes envían correos electrónicos que parecen venir de agencias tributarias oficiales de distintas partes del mundo, como Estados Unidos, Europa y Asia. Estos correos están personalizados según el país de la víctima y contienen enlaces que supuestamente llevan a información fiscal actualizada.

Al hacer clic en el enlace, los usuarios son redirigidos a una página falsa alojada en un servicio gratuito, que utiliza una URL de caché de Google AMP para parecer más confiable. En esta página, se invita al usuario a hacer clic en un botón que dice "Ver documento". Si el dispositivo de la víctima utiliza Windows y sigue el enlace, se le pide descargar un archivo LNK (un acceso directo de Windows) que parece ser un PDF normal, pero en realidad es un archivo malicioso.

Cuando el usuario abre este archivo, un script en Python se ejecuta de manera silenciosa, mientras que el archivo PDF, que en apariencia es legítimo, se abre sin levantar sospechas. Mientras el usuario revisa el documento, el malware trabaja en segundo plano, descargando una DLL maliciosa que instala el virus Voldemort en la memoria del sistema. Lo que hace a este ataque particularmente peligroso es que es fileless, es decir, no deja rastros evidentes en el sistema como archivos que puedan ser fácilmente detectados por antivirus tradicionales.

Una vez instalado, Voldemort utiliza un método poco común para comunicarse con sus operadores: se conecta a Google Sheets, que actúa como su servidor de comando y control (C2). A través de la API de Google, el malware envía y recibe órdenes, y guarda los datos robados de forma cifrada, lo que hace aún más difícil que las herramientas de seguridad lo detecten o bloqueen.

 

Conoce más sobre:  Malware Voldemort Utiliza Google Sheets para Esconder Datos Robados

 

Sectores y Organizaciones Afectadas

 

A pesar de que este malware ha sido distribuido a través de más de 20,000 correos electrónicos, su objetivo no son los usuarios individuales. Los principales blancos de esta campaña son grandes organizaciones de sectores clave como el aeroespacial, transporte, seguros y educación. Aproximadamente la mitad de las víctimas identificadas hasta ahora pertenecen a estos sectores estratégicos.

Algo que ha sorprendido es que, a pesar de la magnitud del ataque, en algunos casos los delincuentes cometieron errores al dirigirse a las víctimas. En lugar de enfocar los correos electrónicos en las empresas según su país de operación, los enviaron a personas basándose únicamente en su país de residencia.

El objetivo del malware no es robar dinero directamente, sino algo mucho más valioso: información sensible. Esto puede incluir datos confidenciales de la empresa, estrategias corporativas, secretos comerciales o avances tecnológicos. Estos datos robados tienen un enorme valor para espionaje corporativo y pueden terminar en manos de competidores o actores malintencionados que busquen obtener ventajas estratégicas.

 

Te podrá interesar leer:  México: Segundo País con más Ciberataques en LATAM en 2024

 

¿Cómo protegerse del virus Voldemort y ataques similares?

 

Dado que Voldemort es un malware fileless, es decir, no deja rastros visibles en el sistema, los antivirus tradicionales pueden tener dificultades para detectarlo. Por eso, te recomendamos tomar varias medidas de seguridad para reducir riesgos y proteger tu organización:

 

  1. Reinstalar Windows si el sistema ha sido comprometido.

  2. Restringir el acceso a servicios de intercambio de archivos externos.

  3. Bloquear conexiones a TryCloudflare, a menos que sean absolutamente necesarias.

  4. Supervisar PowerShell para detectar cualquier actividad inusual en los sistemas.

 

Además de estas medidas, implementar una solución de seguridad robusta como TecnetProtect puede marcar la diferencia. Esta herramienta de ciberseguridad no solo ofrece protección avanzada de correo electrónico, sino que también cuenta con funciones de backup y seguridad en la nube. TecnetProtect detecta y bloquea correos electrónicos maliciosos antes de que lleguen a la bandeja de entrada, protegiendo a las organizaciones de ataques de phishing y otros vectores de amenazas. Además, su capacidad de respaldo asegura que, incluso en caso de una infección, los datos críticos estén seguros y recuperables.

Es importante tener en cuenta que este malware está enfocado principalmente en organizaciones, no en usuarios individuales. Sin embargo, quienes trabajen con correos corporativos deben ser especialmente cautelosos, evitando descargar archivos de remitentes desconocidos o fuera del entorno de la empresa.