Voldemort salió de los libros y las películas de Harry Potter para convertirse en un malware, que ha protagonizado una sofisticada campaña de ciberespionaje que ha puesto en problemas a más de 70 organizaciones en todo el mundo, desde empresas del sector aeroespacial hasta universidades, pasando por aseguradoras y empresas de transporte.
El virus informático ha sido identificado por la empresa de ciberseguridad Proofpoint, que advierte sobre las tácticas que utilizan los delincuentes para infiltrarse en los sistemas de las organizaciones, haciéndose pasar por autoridades fiscales de diferentes países. Este ataque no tiene como objetivo principal el dinero, sino algo que podría ser incluso más valioso: información confidencial y estratégica.
Cómo funciona el malware Voldemort
El modus operandi de Voldemort es una mezcla de técnicas avanzadas y sencillas, lo que ha llevado a los expertos a describirlo como una “amalgama frankensteiniana”. Los atacantes inician la campaña enviando correos de phishing que parecen provenir de autoridades fiscales legítimas, como las agencias tributarias de Estados Unidos, Europa y Asia. Estos correos están personalizados según la ubicación geográfica de la víctima y contienen enlaces que supuestamente dirigen a información fiscal actualizada.
Cuando los destinatarios hacen clic en el enlace, son redirigidos a una página falsa, alojada en un servicio de alojamiento gratuito llamado InfinityFree, que utiliza una URL de caché de Google AMP para parecer más auténtica. En esta página, se les presenta un botón que indica “Haz clic para ver el documento”. Si el usuario está en un sistema operativo Windows y accede a este botón, el malware solicita la descarga de un archivo LNK oculto, que simula ser un PDF legítimo, pero que, en realidad, es un acceso directo malicioso.
Al abrir el archivo, un script en Python se ejecuta silenciosamente en segundo plano, mientras el usuario visualiza un documento PDF legítimo que no genera sospechas. Mientras tanto, el malware aprovecha este momento de distracción para descargar una DLL maliciosa que instala a Voldemort en la memoria del sistema. Este ataque es de tipo fileless, es decir, no utiliza archivos convencionales que puedan ser detectados fácilmente por los antivirus tradicionales, lo que complica su detección y eliminación.
Una vez que el sistema ha sido infectado, Voldemort utiliza Google Sheets como su servidor de comando y control (C2), una táctica inusual en este tipo de ataques. A través de la API de Google, el malware envía y recibe instrucciones, y almacena los datos robados de forma cifrada, haciendo que su detección sea aún más difícil para las herramientas de seguridad convencionales.
Sectores y organizaciones afectadas
Aunque el malware ha sido distribuido en más de 20.000 correos electrónicos, los ataques no se dirigen a usuarios individuales. Los objetivos principales de esta campaña son grandes organizaciones que operan en sectores estratégicos como el aeroespacial, transporte, seguros y educación. De acuerdo con Proofpoint, aproximadamente la mitad de las víctimas pertenece a estos sectores.
Sin embargo, lo que ha llamado la atención de los investigadores es que, a pesar del alcance de la campaña, en algunos casos los delincuentes cometieron errores al dirigirse a las víctimas, enviando correos electrónicos a personas según su país de residencia en lugar del país donde operaban las organizaciones.
El objetivo final de Voldemort no es el robo financiero directo, sino la recopilación de información sensible que puede incluir datos confidenciales de la empresa, planes estratégicos, secretos comerciales o incluso innovaciones tecnológicas. Estos datos pueden ser utilizados para espionaje corporativo, lo que los convierte en un activo de gran valor en manos de competidores o actores malintencionados.
Cómo protegerse de Voldemort y otros ataques similares
Dado que Voldemort es un malware fileless, es decir, no deja rastros físicos en el sistema, los antivirus convencionales pueden tener dificultades para detectarlo. Por esta razón, Proofpoint recomienda una serie de medidas para minimizar los riesgos y proteger a las organizaciones:
- Reinstalar Windows en caso de que el sistema haya sido comprometido.
- Limitar el acceso a servicios de intercambio de archivos externos.
- Bloquear conexiones a TryCloudflare si no son necesarias.
- Monitorizar PowerShell para detectar cualquier actividad sospechosa en los sistemas.
Es importante destacar que este malware se dirige principalmente a organizaciones y no a individuos. Sin embargo, quienes utilicen correos corporativos deben tener especial precaución, evitando descargar archivos o documentos de remitentes desconocidos o que no formen parte de la empresa. Además, para evitar caer en ataques de phishing, se recomienda siempre escribir directamente la dirección web en el navegador en lugar de seguir enlaces desde correos electrónicos.
Últimas Noticias
Paso a paso para invertir en criptomonedas y cuál es su valor
Las criptomonedas han tenido alzas y bajas en las últimas horas
Las redes sociales y los adolescentes, un debate que se expande en el mundo: ¿prohibición total o uso limitado?
Mientras países como España avanzan con restricciones para menores de 16 años, especialistas advierten que prohibir no alcanza. Qué dicen los estudios, cuáles son los riesgos y qué estrategias proponen para acompañar a los jóvenes en el uso de las redes sociales
Invertir en longevidad: cuáles son las empresas AgeTech que cuidan el mañana
Desde robots sociales hasta avances en biotecnología, surgen nuevas formas de prevención y acompañamiento para quienes atraviesan la tercera edad
Cómo conversar por WhatsApp con alguien que no tiene instalada la aplicación
Los Guest Chats permiten invitar a cualquier persona a un chat de WhatsApp mediante un enlace personalizado
¿Poner una llave sobre el router Wi-Fi realmente dirige la señal hacia zonas específicas de la casa?
Gemini, la inteligencia artificial de Google, aclara el trasfondo técnico y desmonta el mito con argumentos claros
