20.3 C
Santo Domingo
sábado, enero 25, 2025

Voldemort, un virus peligroso para robar información

Deberías Leer

Voldemort surgió de los libros y películas de Harry Potter y se convirtió en una pieza de malware que ha liderado una sofisticada campaña de ciberespionaje que ha afectado a más de 70 organizaciones en todo el mundo, desde compañías aeroespaciales hasta universidades, compañías de seguros y empresas de transporte.

El virus informático ha sido identificado por la firma de ciberseguridad Proofpoint, que advierte de las tácticas utilizadas por los delincuentes para infiltrarse en los sistemas de las organizaciones haciéndose pasar por autoridades fiscales de diferentes países. Este ataque no tiene como objetivo principal el dinero, sino algo que podría ser incluso más valioso: información confidencial y estratégica.

Cómo funciona el malware Voldemort

El modus operandi de Voldemort es una mezcla de técnicas avanzadas y simples, lo que ha llevado a los expertos a describirlo como una “amalgama frankensteiniana”. Los atacantes lanzan la campaña enviando correos electrónicos de phishing que parecen provenir de autoridades fiscales legítimas, como agencias tributarias de Estados Unidos, Europa y Asia.

Estos correos electrónicos están personalizados según la ubicación geográfica de la víctima y contienen enlaces que supuestamente conducen a información fiscal actualizada.

Este malware se centra en robar información, en lugar de dinero, a las empresas. (Imagen ilustrativa Infobae)Este malware se centra en robar información, en lugar de dinero, a las empresas. (Imagen ilustrativa Infobae)

Cuando los destinatarios hacen clic en el enlace, son redirigidos a una página falsa, alojada en un servicio de alojamiento gratuito llamado InfinityFree, que utiliza una URL de caché de Google AMP para parecer más auténtica.

En esta página, se les presenta un botón que dice “Haga clic para ver el documento”. Si el usuario está en un sistema operativo Windows y hace clic en este botón, el malware solicita la descarga de un archivo LNK oculto, que parece ser un PDF legítimo, pero en realidad es un acceso directo malicioso.

Cuando se abre el archivo, un script de Python se ejecuta silenciosamente en segundo plano, mientras el usuario visualiza un documento PDF legítimo y no sospechoso. Mientras tanto, el malware aprovecha este momento de distracción para descargar una DLL maliciosa que instala Voldemort en la memoria del sistema.

Este ataque no utiliza archivos, lo que significa que no utiliza archivos convencionales que puedan ser fácilmente detectados por los programas antivirus tradicionales, lo que dificulta su detección y eliminación.

Una vez que el sistema ha sido infectado, Voldemort utiliza Google Sheets como su servidor de comando y control (C2), una táctica inusual en este tipo de ataque.

A través de la API de Google, el malware envía y recibe instrucciones y almacena los datos robados de forma cifrada, lo que hace aún más difícil su detección para las herramientas de seguridad convencionales.

Este malware se centra en robar información, en lugar de dinero, a las empresas. (Imagen ilustrativa Infobae)Este malware se centra en robar información, en lugar de dinero, a las empresas. (Imagen ilustrativa Infobae)

Sectores y organizaciones afectados

Aunque el malware se ha distribuido en más de 20.000 correos electrónicos, los ataques no están dirigidos a usuarios individuales. Los principales objetivos de esta campaña son las grandes organizaciones que operan en sectores estratégicos como el aeroespacial, el transporte, los seguros y la educación. Según Proofpoint, aproximadamente la mitad de las víctimas pertenecen a estos sectores.

Sin embargo, lo que ha llamado la atención de los investigadores es que, a pesar del alcance de la campaña, en algunos casos los criminales cometieron errores al seleccionar a las víctimas, enviando correos electrónicos a personas en función de su país de residencia en lugar del país donde operaban las organizaciones.

El objetivo final de Voldemort no es el robo financiero directo, sino la recopilación de información confidencial que puede incluir datos confidenciales de la empresa, planes estratégicos, secretos comerciales o incluso innovaciones tecnológicas. Estos datos pueden utilizarse para espionaje corporativo, lo que los convierte en un activo muy valioso en manos de competidores o actores maliciosos.

Este malware se centra en robar información, en lugar de dinero, a las empresas. (Imagen ilustrativa Infobae)Este malware se centra en robar información, en lugar de dinero, a las empresas. (Imagen ilustrativa Infobae)

Cómo protegerse de Voldemort y otros ataques similares

Dado que Voldemort es un malware sin archivos, lo que significa que no deja rastros físicos en el sistema, los programas antivirus convencionales pueden tener dificultades para detectarlo. Por este motivo, Proofpoint recomienda una serie de medidas para minimizar los riesgos y proteger a las organizaciones:

  • Reinstale Windows si su sistema se ha visto comprometido.
  • Limite el acceso a servicios externos de intercambio de archivos.
  • Bloquee las conexiones a TryCloudflare si no son necesarias.
  • Supervise PowerShell para detectar cualquier actividad sospechosa en sus sistemas.

Es importante destacar que este malware se dirige principalmente a organizaciones y no a personas individuales. Sin embargo, quienes utilicen correos electrónicos corporativos deberán tener especial cuidado, evitando descargar archivos o documentos de remitentes desconocidos o que no formen parte de la empresa. Además, para evitar caer en ataques de phishing, siempre se recomienda escribir la dirección web directamente en el navegador en lugar de seguir enlaces desde los correos electrónicos.

- Advertisement -spot_img

Otros Artículos

- Advertisement -spot_img

Últimas Noticias