Voldemort, un peligroso malware se propaga a través de correos electrónicos falsos, haciéndose pasar por agencias tributarias de diversos países en Europa, Asia y América.
Al igual que el villano de la famosa saga de Harry Potter, este virus ha ganado notoriedad por su habilidad para infundir miedo y causar estragos en sus víctimas, y su nombre parece ser un guiño directo al “que no debe ser nombrado”.
El origen del ataque
Desde hace varias semanas, diferentes usuarios y empresas han reportado recibir correos electrónicos de apariencia legítima, que simulan provenir de entidades tributarias como la Agencia Tributaria española, el IRS de Estados Unidos y otros organismos fiscales de distintos países. Estos correos suelen incluir títulos alarmantes como “Notificación urgente de impuestos pendientes” o “Deuda tributaria acumulada”, acompañados de enlaces o archivos adjuntos que invitan al destinatario a acceder a supuesta información fiscal.
El equipo de investigación de Proofpoint ha revelado detalles sobre esta inusual campaña, caracterizada por su sofisticación y personalización, en la que los ciberdelincuentes se hacen pasar por entidades para distribuir un malware personalizado apodado Voldemort. Estos mensajes están escritos en el idioma de la autoridad suplantada y utilizan dominios comprometidos para parecer más auténticos. Por ejemplo, en un mensaje que se hacía pasar por el IRS de Estados Unidos aparecía como remitente: “Federal IRS
Voldemort usa métodos de ataque inusuales
Una de las características más destacadas de Voldemort es su uso de métodos de mando y control (C2) poco comunes. Los atacantes emplean hojas de cálculo de Google Sheets y archivos de búsqueda guardados en recursos compartidos externos para comunicarse con el malware. Además, la carga útil del malware Cobalt Strike se aloja en la infraestructura del atacante, lo que permite una recopilación de información eficiente y la entrega de payloads adicionales.
“Estos atacantes, aunque muestran algunas técnicas populares en ciberdelincuencia, utilizan malware personalizado con funciones inusuales de las que no se suele abusar en campañas generalizadas, además de apuntar a objetivos muy específicos que no se ven en actividades maliciosas con motivación financiera”, señalan desde Proofpoint. “Estamos ante una campaña inusual con una amalgama frankensteiniana de capacidades inteligentes y sofisticadas, junto con técnicas y funcionalidades muy básicas, lo cual dificulta evaluar las capacidades de los ciberdelincuentes y determinar los objetivos finales. Aunque su actividad parece alinearse con el espionaje, es posible que en un futuro las amenazas asociadas puedan cambiar”, añaden.
Una amenaza persistente avanzada
Desde su identificación a principios de agosto de 2024, Voldemort ha lanzado más de 20.000 mensajes que han afectado a más de 70 organizaciones en todo el mundo. Los sectores más afectados incluyen compañías de seguros, entidades aeroespaciales, de transporte y universidades. Esta campaña no se atribuye a ningún grupo de hackers conocido, lo que añade un nivel adicional de misterio y preocupación.
Los expertos en ciberseguridad creen que Voldemort es probablemente una amenaza persistente avanzada (APT) con fines de espionaje. A diferencia de otros malware que buscan beneficios económicos, Voldemort se centra en la recopilación de información sensible. Esta campaña inusual combina técnicas sofisticadas con funcionalidades básicas, lo que dificulta evaluar completamente las capacidades de los ciberdelincuentes y sus objetivos finales.
Cómo protegerse de Voldemort
Los especialistas recomiendan extremar la precaución al recibir correos electrónicos sospechosos relacionados con temas fiscales. Es esencial no abrir enlaces o descargar archivos adjuntos de remitentes desconocidos y verificar directamente con la agencia tributaria correspondiente si existe algún problema con los impuestos.
Además, es fundamental contar con un software antivirus actualizado y realizar copias de seguridad periódicas para minimizar el impacto en caso de una infección. Las empresas, por su parte, deben implementar protocolos de ciberseguridad más estrictos, educar a sus empleados sobre los riesgos del phishing y contar con equipos especializados en la detección de amenazas.