La recente campagna malware, denominata “Voldemort” dal team di Proofpoint, sta sollevando serie preoccupazioni nel mondo della sicurezza informatica. Da agosto 2024, i cybercriminali hanno lanciato un attacco massiccio impersonando varie agenzie fiscali in Stati Uniti, Europa e Asia, inclusa l’Agenzia delle Entrate italiana, con l’obiettivo di sottrarre dati sensibili agli utenti.
Voldemort è stato progettato principalmente per attività di spionaggio, dotato di capacità avanzate per la raccolta di dati e la distribuzione di ulteriori payload dannosi. Scritto in linguaggio C, questo malware si presenta come una backdoor su misura, arricchita da funzioni sofisticate per l’acquisizione di informazioni. La presenza di Cobalt Strike all’interno dell’infrastruttura rilevata da Proofpoint suggerisce che l’operazione possa essere sponsorizzata da uno stato.
Target e tecniche innovative di comando e controllo
La campagna ha colpito 18 settori industriali a livello globale, con un focus particolare sulle compagnie assicurative. Ad agosto 2024, sono stati registrati oltre 20.000 messaggi malevoli inviati a più di 70 aziende, con un picco il 17 agosto, quando quasi 6.000 messaggi sono stati rilevati.
Voldemort ha utilizzato tecniche di comando e controllo (C2) innovative, tra cui Google Fogli. Questo strumento è stato impiegato per inviare ping ai dispositivi infetti, ottenere nuovi comandi e fungere da repository per i dati rubati. Le macchine infette scrivevano i propri dati in celle specifiche all’interno di un foglio Google, usando identificatori unici come gli UUID, permettendo così una gestione più organizzata dei sistemi compromessi.
Selezione delle vittime
L’analisi delle email di phishing e delle informazioni pubbliche sugli obiettivi ha rivelato che i cybercriminali hanno scelto le loro vittime in base al paese di residenza, anziché all’origine dell’azienda. Questa strategia mirata ha massimizzato l’efficacia dell’attacco, concentrandosi su nazioni con infrastrutture di sicurezza informatica più deboli o vulnerabili.
La sofisticazione di Voldemort e l’uso di strumenti come Google Fogli per le operazioni C2 rappresentano una minaccia significativa, sottolineando l’importanza di una maggiore vigilanza e collaborazione internazionale nella lotta contro le minacce informatiche sponsorizzate da stati.