Redacción. ― Voldemort salió de los libros y las películas de Harry Potter para convertirse en un malware, que ha protagonizado una sofisticada campaña de ciberespionaje que ha puesto en problemas a más de 70 organizaciones en todo el mundo, desde empresas del sector aeroespacial hasta universidades, pasando por aseguradoras y empresas de transporte.
El virus informático ha sido identificado por la empresa de ciberseguridad Proofpoint, que advierte sobre las tácticas que utilizan los delincuentes para infiltrarse en los sistemas de las organizaciones, haciéndose pasar por autoridades fiscales de diferentes países. Este ataque no tiene como objetivo principal el dinero, sino algo que podría ser incluso más valioso: información confidencial y estratégica.
El modus operandi de Voldemort es una mezcla de técnicas avanzadas y sencillas, lo que ha llevado a los expertos a describirlo como una “amalgama frankensteiniana”. Los atacantes inician la campaña enviando correos de phishing que parecen provenir de autoridades fiscales legítimas, como las agencias tributarias de Estados Unidos, Europa y Asia. Estos correos están personalizados según la ubicación geográfica de la víctima y contienen enlaces que supuestamente dirigen a información fiscal actualizada.
Cuando los destinatarios hacen clic en el enlace, son redirigidos a una página falsa, alojada en un servicio de alojamiento gratuito llamado InfinityFree, que utiliza una URL de caché de Google AMP para parecer más auténtica. En esta página, se les presenta un botón que indica “Haz clic para ver el documento”. Si el usuario está en un sistema operativo Windows y accede a este botón, el malware solicita la descarga de un archivo LNK oculto, que simula ser un PDF legítimo, pero que, en realidad, es un acceso directo malicioso.
Al abrir el archivo, un script en Python se ejecuta silenciosamente en segundo plano, mientras el usuario visualiza un documento PDF legítimo que no genera sospechas. Mientras tanto, el malware aprovecha este momento de distracción para descargar una DLL maliciosa que instala a Voldemort en la memoria del sistema. Este ataque es de tipo fileless, es decir, no utiliza archivos convencionales que puedan ser detectados fácilmente por los antivirus tradicionales, lo que complica su detección y eliminación.
Una vez que el sistema ha sido infectado, Voldemort utiliza Google Sheets como su servidor de comando y control (C2), una táctica inusual en este tipo de ataques. A través de la API de Google, el malware envía y recibe instrucciones, y almacena los datos robados de forma cifrada, haciendo que su detección sea aún más difícil para las herramientas de seguridad convencionales.