Los investigadores de seguridad de Proofpoint advirtieron recientemente de un nuevo malware llamado “Voldemort”, que se está propagando a través de correos electrónicos de phishing y se camufla con Google Sheets para eludir los sistemas de seguridad y obtener acceso a diversos tipos de datos.
Las empresas, comercios y organizaciones son los principales objetivos de este malware, principalmente en los sectores de seguros, aeroespacial, transporte y educación. Los actores detrás de este ataque de malware aún son desconocidos, pero Proofpoint cree que se trata de una forma de ciberespionaje.
Los correos electrónicos de phishing de Voldemort simulan ser de autoridades de Estados Unidos, Europa o Asia. Según el informe, los atacantes diseñan los correos electrónicos de phishing para que coincidan con la ubicación de la organización objetivo en función de información disponible públicamente, y los propios correos electrónicos contienen enlaces a supuestos documentos con “información fiscal actualizada”.
Relacionado: Las estafas de phishing más comunes que debes tener en cuenta
¿Qué pasa cuando haces clic?
La campaña de malware comenzó el 5 de agosto de 2024 y los atacantes ya han enviado más de 20.000 correos electrónicos a más de 70 empresas objetivo. En los días de mayor actividad, los correos electrónicos de phishing llegan a hasta 6.000 víctimas potenciales.
Cuando una víctima hace clic en un enlace incluido en los correos electrónicos, se le redirige a la descarga de un archivo camuflado en un PDF, lo que puede no parecer sospechoso. Pero el malware se disfraza de tráfico de red y utiliza Google Sheets como servidor de comando y control (también conocido como ataque C2), y los sistemas de seguridad no clasifican el tráfico de malware como sospechoso debido al uso de la API de Google, incluidos los datos de acceso integrados.
El malware está ahí principalmente para robar datos, pero también es capaz de descargar malware adicional, eliminar archivos, desactivarse temporalmente y más. En cierto sentido, puede funcionar como una puerta trasera y, por lo tanto, es una amenaza versátil para los sistemas infectados.
Relacionado: Cómo el malware puede burlar tu software antivirus
Cómo protegerse
Para protegerse contra la campaña de malware Voldemort, Proofpoint recomienda restringir el acceso de servicios externos de uso compartido de archivos a servidores confiables, bloquear las conexiones a TryCloudflare cuando no se necesiten activamente y estar atento a ejecuciones sospechosas de PowerShell.
El informe completo de Proofpoint está disponible aquí.
Este artículo apareció originalmente en nuestra publicación hermana PC-MUNDO y fue traducido y localizado del alemán.
