Una nuova campagna malware, soprannominata Voldemort dal team di Proofpoint, sta destando particolare preoccupazione nel panorama della sicurezza informatica globale. Da agosto scorso, i cybercriminali hanno lanciato un attacco su larga scala impersonando agenzie fiscali nazionali negli Stati Uniti, in Europa e in Asia, tra cui l’Agenzia delle Entrate italiana, al fine di provare a sottrarre dati sensibili agli utenti.
Voldemort: nuova campagna malware che impersona le agenzie fiscali nazionali
Come dimostrato dalle sue capacità di raccolta dati e dalla possibilità di distribuire ulteriori payload dannosi, il malware pare essere progettato principalmente per scopi di spionaggio.
Il malware, scritto in C, è una backdoor personalizzata con capacità avanzate di raccolta informazioni e distribuzione di payload. Inoltre, Proofpoint ha osservato la presenza di Cobalt Strike nell’infrastruttura, suggerendo un’operazione potenzialmente sponsorizzata da uno stato.
La campagna ha preso di mira 18 diversi settori industriali su scala globale, con particolare attenzione alle compagnie assicurative. Ad agosto 2024, sono stati registrati oltre 20.000 messaggi diretti a più di 70 aziende, con un picco di attività il 17 agosto, quando sono stati rilevati quasi 6.000 messaggi.
Voldemort ha utilizzato tecniche di comando e controllo (C2) insolite, come l’uso di Google Fogli, facendo il ping per ottenere nuovi comandi da eseguire sul dispositivo infetto e come repository per i dati rubati. Ogni macchina infetta scrive i suoi dati in celle specifiche all’interno del foglio Google, che possono essere designate da identificatori univoci come gli UUID, garantendo l’isolamento e una gestione più chiara dei sistemi violati.
L’analisi delle e-mail di phishing e delle informazioni pubbliche sugli obiettivi ha rivelato che i cybercriminali hanno scelto le loro vittime in base al paese di residenza e non in base al paese di origine dell’azienda.