Una recente campagna di malware, soprannominata "Voldemort" dai ricercatori di Proofpoint, ha scosso il panorama della sicurezza informatica globale. A partire da agosto 2024, i cybercriminali hanno lanciato un attacco su larga scala impersonando diverse agenzie fiscali nazionali, tra cui l'Agenzia delle Entrate italiana, con l'obiettivo di sottrarre dati sensibili dalle vittime.
Secondo il Threat Research Team di Proofpoint, la campagna è caratterizzata da una catena di attacco innovativa e sofisticata, che utilizza tecniche avanzate per diffondere un malware personalizzato.
Questo malware, chiamato Voldemort, sembra essere progettato principalmente per scopi di spionaggio, piuttosto che per ottenere profitti finanziari, come dimostrato dalle sue capacità di raccolta dati e dalla possibilità di distribuire ulteriori payload dannosi.
La campagna ha preso di mira 18 diversi settori industriali a livello globale, con un'attenzione particolare alle compagnie assicurative, che hanno rappresentato quasi un quarto degli obiettivi. Durante il mese di agosto, sono stati registrati oltre 20.000 messaggi diretti a più di 70 aziende, con un picco di attività il 17 agosto, quando sono stati rilevati quasi 6.000 messaggi.
I messaggi fraudolenti sembravano provenire da agenzie fiscali di vari paesi, tra cui gli Stati Uniti, il Regno Unito, la Francia, la Germania, l'India e il Giappone. Ogni esca era personalizzata nella lingua dell'autorità fiscale impersonata, aumentando così le probabilità di inganno.
La campagna ha utilizzato tecniche di comando e controllo (C2) insolite, come l'uso di Google Sheets, e ha mostrato un grande interesse per lo spionaggio, piuttosto che per l'estorsione o il furto finanziario.
Nonostante le caratteristiche di questa campagna, che solitamente si associano alla criminalità informatica, la natura del malware e le tecniche utilizzate indicano chiaramente un interesse primario per lo spionaggio.
Voldemort, scritto in C, è una backdoor personalizzata con capacità avanzate di raccolta informazioni e distribuzione di payload, e Proofpoint ha osservato la presenza di Cobalt Strike nell'infrastruttura dell'attore della minaccia, suggerendo un'operazione ben orchestrata e potenzialmente sponsorizzata da uno stato.
L'analisi delle e-mail di phishing e delle informazioni pubbliche sugli obiettivi ha rivelato che i cybercriminali hanno scelto le loro vittime in base al paese di residenza, piuttosto che al paese di origine dell'azienda, dimostrando un approccio altamente mirato e sofisticato.
In sintesi, la campagna Voldemort rappresenta una delle minacce più insidiose degli ultimi tempi, con un impatto potenzialmente devastante su scala globale, richiedendo una maggiore vigilanza e protezione da parte delle organizzazioni di tutto il mondo.