El equipo de investigación de amenazas de Proofpoint ha revelado datos de una campaña inusual en la que los ciberdelincuentes se hacen pasar por autoridades fiscales v de Europa, Asia y Estados Unidos para distribuir un malware personalizado apodado “Voldemort”.

Esta compañía de ciberseguridad y cumplimiento normativo considera que es probable que se trate de una amenaza persistente avanzada (APT) con fines de espionaje, dadas las capacidades de este malware en la recopilación de información y la entrega de payloads adicionales, en lugar de perseguir beneficios económicos como objetivo.

Sin embargo, Proofpoint no dispone de información suficiente para atribuir con un alto grado de confianza estos mensajes a un agente de amenazas específico.

Detalles de la campaña maliciosa

Dicha actividad maliciosa se observó por primera vez a principios de agosto de 2024. La campaña incluyó más de 20,000 mensajes que afectaron ya a más de 70 organizaciones en todo el mundo. Los atacantes utilizaron una cadena de ataque con múltiples métodos de mando y control (C2) poco comunes en la actualidad. Entre estos métodos destacan el uso de Google Sheets para la comunicación entre el malware y los servidores de control, así como un archivo de búsqueda guardado en un recurso compartido externo, lo que demuestra la habilidad de los atacantes para explotar herramientas legítimas en sus operaciones maliciosas.

Proofpoint detectó que el payload del malware Cobalt Strike, una herramienta comúnmente utilizada en ataques avanzados para obtener persistencia en los sistemas comprometidos, estaba alojado en la infraestructura del agresor. Cobalt Strike es conocido por ser usado tanto en entornos legítimos de prueba de penetración como por ciberdelincuentes debido a su versatilidad para ejecutar comandos, desplegar payloads adicionales y exfiltrar datos.

Suplantación de autoridades fiscales y tácticas de ingeniería social

Una característica destacada de esta campaña es el uso de suplantación de autoridades fiscales. Los mensajes maliciosos notificados aparentaban proceder de agencias fiscales reconocidas, notificando a los destinatarios sobre presuntos cambios en sus declaraciones de impuestos. Estos emails estaban personalizados y escritos en el idioma correspondiente a la agencia suplantada, lo que aumenta la credibilidad del engaño y facilita que las víctimas caigan en la trampa.

Los atacantes utilizaron dominios comprometidos para enviar estos correos, simulando que provenían de direcciones legítimas. Por ejemplo, en el caso de mensajes que pretendían ser del IRS (Internal Revenue Service) de Estados Unidos, el remitente aparecía como: “Federal IRS <no_reply_irs[.]gov@amecaindustrial[.]com>”. Este tipo de técnica, conocida como spoofing de dominios, es una táctica común en ataques de phishing, ya que permite que los correos parezcan legítimos a simple vista.

Verticales afectados y sectores objetivo

El grupo de ciberdelincuencia detrás de “Voldemort” ha apuntado a unos 18 sectores industriales diferentes, lo que indica un amplio alcance en sus objetivos. Sin embargo, casi una cuarta parte de los ataques se dirigieron específicamente a compañías de seguros, mientras que el 50% restante de las víctimas pertenecían a entidades de los sectores aeroespacial, transporte y universidades.

Este enfoque en sectores específicos sugiere que los atacantes no están motivados únicamente por la obtención de ganancias financieras inmediatas, sino que podrían estar buscando acceso a información confidencial o propiedad intelectual que pueda ser explotada para fines de espionaje. Las industrias aeroespacial y de transporte, en particular, suelen ser objetivo de actores de amenazas patrocinados por estados debido a la importancia de la información sensible que manejan, incluidos datos sobre tecnologías avanzadas y proyectos gubernamentales.

Uso de técnicas y malware personalizados

Los investigadores de Proofpoint señalan que, aunque esta campaña emplea algunas técnicas comunes en la ciberdelincuencia, el uso de un malware personalizado, junto con funciones inusuales, la distingue de las campañas generalizadas que suelen estar motivadas por razones económicas. El malware “Voldemort” incluye capacidades que permiten no solo la recolección de información, sino también la entrega de payloads adicionales, lo que indica una infraestructura robusta y bien organizada detrás de la campaña.

Una de las características más intrigantes de esta campaña es la mezcla de técnicas sofisticadas con métodos básicos. Los atacantes han demostrado capacidades avanzadas en la explotación de herramientas legítimas como Google Sheets para el mando y control, mientras que en otros aspectos emplean técnicas relativamente simples de phishing y spoofing de dominios. Este enfoque híbrido, que combina lo básico con lo avanzado, hace que la evaluación de las capacidades reales de los atacantes sea un desafío para los expertos.

Posibles motivaciones detrás de la campaña

Aunque Proofpoint sugiere que la actividad de este grupo está alineada con fines de espionaje, la falta de una atribución definitiva dificulta la identificación del verdadero objetivo de los atacantes. En la ciberseguridad, las campañas de APT a menudo buscan obtener acceso a información valiosa a largo plazo, en lugar de obtener recompensas económicas inmediatas. Esto podría incluir la exfiltración de datos confidenciales o el acceso a redes internas para futuras operaciones.

El uso de malware personalizado y la selección de objetivos específicos refuerzan la hipótesis de que este grupo podría estar involucrado en actividades de espionaje cibernético, posiblemente patrocinadas por un estado. Sin embargo, dada la naturaleza cambiante de las amenazas cibernéticas, también es posible que los objetivos y las tácticas evolucionen en el futuro.

Este ataque resalta la importancia de mantener una postura de seguridad robusta y proactiva, especialmente en sectores como seguros, aeroespacial y transporte, que parecen ser objetivos prioritarios para los atacantes. Las organizaciones deben estar atentas a los correos electrónicos sospechosos, incluso si parecen provenir de fuentes legítimas, y asegurarse de contar con soluciones de seguridad avanzadas que puedan detectar y bloquear este tipo de campañas antes de que causen daños.

Además, es fundamental capacitar a los empleados en prácticas de ciberseguridad y conciencia de phishing, dado que la ingeniería social sigue siendo una de las principales tácticas utilizadas por los atacantes para comprometer sistemas. También es recomendable implementar políticas estrictas sobre el uso de dominios externos y reforzar las medidas de autenticación, como el uso de DMARC y SPF para prevenir ataques de suplantación de identidad.

 

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre