Voldemort salió de los libros y las películas de Harry Potter para convertirse en un malware, que ha protagonizado una sofisticada campaña de ciberespionaje que ha puesto en problemas a más de 70 organizaciones en todo el mundo, desde empresas del sector aeroespacial hasta universidades, pasando por aseguradoras y empresas de transporte.
El virus informático ha sido identificado por la empresa de ciberseguridad Proofpoint, que advierte sobre las tácticas que utilizan los delincuentes para infiltrarse en los sistemas de las organizaciones, haciéndose pasar por autoridades fiscales de diferentes países. Este ataque no tiene como objetivo principal el dinero, sino algo que podría ser incluso más valioso: información confidencial y estratégica.
Cómo funciona el malware Voldemort
El modus operandi de Voldemort es una mezcla de técnicas avanzadas y sencillas, lo que ha llevado a los expertos a describirlo como una “amalgama frankensteiniana”. Los atacantes inician la campaña enviando correos de phishing que parecen provenir de autoridades fiscales legítimas, como las agencias tributarias de Estados Unidos, Europa y Asia. Estos correos están personalizados según la ubicación geográfica de la víctima y contienen enlaces que supuestamente dirigen a información fiscal actualizada.
Cuando los destinatarios hacen clic en el enlace, son redirigidos a una página falsa, alojada en un servicio de alojamiento gratuito llamado InfinityFree, que utiliza una URL de caché de Google AMP para parecer más auténtica. En esta página, se les presenta un botón que indica “Haz clic para ver el documento”. Si el usuario está en un sistema operativo Windows y accede a este botón, el malware solicita la descarga de un archivo LNK oculto, que simula ser un PDF legítimo, pero que, en realidad, es un acceso directo malicioso.
Al abrir el archivo, un script en Python se ejecuta silenciosamente en segundo plano, mientras el usuario visualiza un documento PDF legítimo que no genera sospechas. Mientras tanto, el malware aprovecha este momento de distracción para descargar una DLL maliciosa que instala a Voldemort en la memoria del sistema. Este ataque es de tipo fileless, es decir, no utiliza archivos convencionales que puedan ser detectados fácilmente por los antivirus tradicionales, lo que complica su detección y eliminación.
Una vez que el sistema ha sido infectado, Voldemort utiliza Google Sheets como su servidor de comando y control (C2), una táctica inusual en este tipo de ataques. A través de la API de Google, el malware envía y recibe instrucciones, y almacena los datos robados de forma cifrada, haciendo que su detección sea aún más difícil para las herramientas de seguridad convencionales.
Sectores y organizaciones afectadas
Aunque el malware ha sido distribuido en más de 20.000 correos electrónicos, los ataques no se dirigen a usuarios individuales. Los objetivos principales de esta campaña son grandes organizaciones que operan en sectores estratégicos como el aeroespacial, transporte, seguros y educación. De acuerdo con Proofpoint, aproximadamente la mitad de las víctimas pertenece a estos sectores.
Sin embargo, lo que ha llamado la atención de los investigadores es que, a pesar del alcance de la campaña, en algunos casos los delincuentes cometieron errores al dirigirse a las víctimas, enviando correos electrónicos a personas según su país de residencia en lugar del país donde operaban las organizaciones.
El objetivo final de Voldemort no es el robo financiero directo, sino la recopilación de información sensible que puede incluir datos confidenciales de la empresa, planes estratégicos, secretos comerciales o incluso innovaciones tecnológicas. Estos datos pueden ser utilizados para espionaje corporativo, lo que los convierte en un activo de gran valor en manos de competidores o actores malintencionados.
Cómo protegerse de Voldemort y otros ataques similares
Dado que Voldemort es un malware fileless, es decir, no deja rastros físicos en el sistema, los antivirus convencionales pueden tener dificultades para detectarlo. Por esta razón, Proofpoint recomienda una serie de medidas para minimizar los riesgos y proteger a las organizaciones:
- Reinstalar Windows en caso de que el sistema haya sido comprometido.
- Limitar el acceso a servicios de intercambio de archivos externos.
- Bloquear conexiones a TryCloudflare si no son necesarias.
- Monitorizar PowerShell para detectar cualquier actividad sospechosa en los sistemas.
Es importante destacar que este malware se dirige principalmente a organizaciones y no a individuos. Sin embargo, quienes utilicen correos corporativos deben tener especial precaución, evitando descargar archivos o documentos de remitentes desconocidos o que no formen parte de la empresa. Además, para evitar caer en ataques de phishing, se recomienda siempre escribir directamente la dirección web en el navegador en lugar de seguir enlaces desde correos electrónicos.