Voldemort, um perigoso malware propaga-se através de correios electrónicos falsos, fazendo-se passar por agências tributárias de diversos países em Europa, Ásia e América.
Ao igual que o villano da famosa saga de Harry Potter, este vírus tem ganhado notoriedad por sua habilidade para infundir medo e causar estragos em suas vítimas, e seu nome parece ser um guiño directo ao "que não deve ser nomeado".
A origem do ataque
Desde faz várias semanas, diferentes utentes e empresas têm reportado receber correios electrónicos de aparência legítima, que simulam provir de entidades tributárias como a Agência Tributária espanhola, o IRS de Estados Unidos e outros organismos fiscais de diferentes países. Estes correios costumam incluir títulos alarmantes como "Notificação urgente de impostos pendentes" ou "Dívida tributária acumulada", acompanhados de enlaces ou arquivos adjuntos que invitan ao destinatário a aceder a suposta informação fiscal.
A equipa de investigação de Proofpoint tem revelado detalhes sobre esta incomum campanha, caracterizada por sua sofisticación e personalização, na que os ciberdelincuentes se fazem passar por entidades para distribuir um malware personalizado apodado Voldemort. Estas mensagens estão escritas no idioma da autoridade suplantada e utilizam domínios comprometidos para parecer mais autênticos. Por exemplo, numa mensagem que se fazia passar pelo IRS de Estados Unidos aparecia como remitente: "Federal IRS [.]gov@amecaindustrial[.]com>
Voldemort usa métodos de ataque incomuns
Uma das características mais destacadas de Voldemort é seu uso de métodos de comando e controle (C2) pouco comuns. Os atacantes empregam planilhas de Google Sheets e arquivos de busca guardados em recursos compartilhados externos para comunicar-se com o malware. Ademais, o ónus útil do malware Cobalt Strike se aloja na infra-estrutura do atacante, o que permite uma recopilación de informação eficiente e a entrega de payloads adicionais.
"Estes atacantes, ainda que mostram algumas técnicas populares em ciberdelincuencia, utilizam malware personalizado com funções incomuns das que não se costuma abusar em campanhas generalizadas, além de apontar a objectivos muito específicos que não se vêem em actividades maliciosas com motivação financeira", assinalam desde Proofpoint. "Estamos ante uma campanha incomum com uma amalgama frankensteiniana de capacidades inteligentes e sofisticadas, junto com técnicas e funcionalidades muito básicas, o qual dificulta avaliar as capacidades dos ciberdelincuentes e determinar os objectivos finais. Ainda que sua actividade parece alinhar com a espionagem, é possível que num futuro as ameaças associadas possam mudar", acrescentam.
Uma ameaça persistente avançada
Desde sua identificação a princípios de agosto de 2024, Voldemort tem lançado mais de 20.000 mensagens que têm afectado a mais de 70 organizações em todo mundo. Os sectores mais afectados incluem companhias de seguros, entidades aeroespaciales, de transporte e universidades. Esta campanha não se atribui a nenhum grupo de hackers conhecido, o que acrescenta um nível adicional de mistério e preocupação.
Os experientes em ciberseguridad acham que Voldemort é provavelmente uma ameaça persistente avançada (APT) com fins de espionagem. A diferença de outros malware que procuram benefícios económicos, Voldemort se centra na recopilación de informação sensível. Esta campanha incomum combina técnicas sofisticadas com funcionalidades básicas, o que dificulta avaliar completamente as capacidades dos ciberdelincuentes e seus objectivos finais.
Como se proteger de Voldemort
Os especialistas recomendam extremar a precaução ao receber correios electrónicos suspeitos relacionados com temas fiscais. É esencial não abrir enlaces ou descarregar arquivos adjuntos de remitentes desconhecidos e verificar directamente com a agência tributária correspondente se existe algum problema com os impostos.
Ademais, é fundamental contar com um software antivírus actualizado e realizar cópias de segurança periódicas para minimizar o impacto em caso de uma infecção. As empresas, por sua vez, devem implementar protocolos de ciberseguridad mais estritos, educar a seus empregados sobre os riscos do phishing e contar com equipas especializadas na detecção de ameaças.