Una nueva campaña de malware está causando estragos en miles de sistemas Windows a nivel mundial. El backdoor, no documentado y denominado “Voldemort”, tiene como objetivo a organizaciones, haciéndose pasar por agencias fiscales de países de América del Norte, Europa y Asia.
Según un informe reciente de Proofpoint, la campaña comenzó el mes pasado, enviando más de 20,000 correos electrónicos dirigidos a más de 70 organizaciones. La mitad de estas empresas pertenecen a sectores como el aeroespacial, seguros, educación y transporte.
¿Cómo funciona el malware “Voldemort”?
De acuerdo con Proofpoint, los atacantes inician enviando correos de phishing utilizando información pública de las organizaciones. Dependiendo de la ubicación geográfica, los emails se hacen pasar por autoridades fiscales del país correspondiente, incluyendo enlaces que supuestamente llevan a información fiscal actualizada.
Cuando los usuarios hacen clic en el enlace, son redirigidos a una página alojada en “InfinityFree”, que utiliza una URL de caché de Google AMP para llevar a las víctimas a una nueva página con un botón de “Haz clic para ver el documento”.
Si el usuario está en un sistema Windows, el malware solicita la descarga de un archivo LNK oculto, que se disfraza de un PDF falso con una flecha de acceso directo en la esquina inferior izquierda. Estos archivos LNK son accesos directos que permiten abrir archivos, carpetas o sitios web.
Al abrir el PDF falso, se ejecuta un script de Python que oculta su actividad mostrando un documento PDF legítimo, mientras que en segundo plano descarga una DLL maliciosa que carga a Voldemort en la memoria del sistema.
Una vez que el sistema ha sido infectado, el malware utiliza Google Sheets como servidor de comando y control para recibir nuevas instrucciones y almacenar los datos robados. Incluso emplea la API de Google para interactuar con Google Sheets a través de un canal cifrado, dificultando la detección por parte de las herramientas de seguridad.
Protégete de este malware con estas recomendaciones
Dado que este malware es de tipo “fileless” (sin archivos), los antivirus tradicionales podrían no detectarlo. Si abres el archivo por error, la opción más segura es reinstalar Windows desde cero.
Adicionalmente, Proofpoint recomienda limitar el acceso a servicios de intercambio de archivos externos, bloquear conexiones a TryCloudflare si no son necesarias, o monitorizar PowerShell para detectar actividades sospechosas.
Es importante destacar que los actores detrás de Voldemort están apuntando principalmente a organizaciones, por lo que es poco probable que recibas estos correos de phishing en una cuenta personal. Sin embargo, si usas un correo corporativo, evita descargar documentos o archivos de remitentes desconocidos o fuera de tu empresa.
Fuente: Proofpoint