I ricercatori di Proofpoint hanno scoperto una campagna di cyber-attacchi che utilizza una catena inedita per diffondere un malware, denominato “Voldemort”, con l’obiettivo di sottrarre dati sensibili. Gli aggressori hanno colpito oltre 70 aziende a livello globale, inviando circa 20.000 email spacciandosi per autorità fiscali di Europa, Asia e Stati Uniti. In Italia, i cybercriminali si sono finti l’Agenzia delle Entrate, usando la scusa di notificare documenti ufficiali per accedere ai sistemi delle vittime, infiltrandosi nei loro sistemi.
La campagna utilizza una combinazione di tecniche, tra cui l’uso non comune di Google Sheets per il comando e controllo (C2), e nomi di file e password insoliti come “test”. Nonostante inizialmente si sospettasse un’attività di red team, il volume dei messaggi e l’analisi del malware hanno confermato la presenza di un attore di minaccia reale. Proofpoint ritiene che si tratti probabilmente di un gruppo di minacce persistenti avanzate (APT) con l’obiettivo di raccogliere informazioni piuttosto che di ottenere guadagni finanziari.
Il malware “Voldemort”, una backdoor scritta in C, è capace di raccogliere dati e di rilasciare ulteriori payload, tra cui Cobalt Strike, osservato sull’infrastruttura dell’attaccante.
A partire dal 5 agosto 2024, la campagna ha registrato un aumento significativo di attività, culminando il 17 agosto con quasi 6.000 messaggi inviati in un solo giorno. Gli attacchi includevano email che imitavano le comunicazioni ufficiali di diverse autorità fiscali, tra cui l’IRS negli Stati Uniti, HM Revenue & Customs nel Regno Unito, la Direction Générale des Finances Publiques in Francia, il Bundeszentralamt für Steuern in Germania, l’Agenzia delle Entrate in Italia, e agenzie simili in India e Giappone.
Gli analisti di Proofpoint hanno scoperto che gli aggressori adattavano le email alla lingua e al contesto locale delle vittime, mirandole in base al loro paese di residenza piuttosto che alla nazione dell’organizzazione bersaglio. Le email provenivano da domini compromessi, con gli indirizzi che includevano i nomi delle autorità fiscali imitate.
L’attore della minaccia ha preso di mira 18 settori verticali diversi, con una concentrazione particolare sulle compagnie assicurative, ma anche su entità aerospaziali, dei trasporti e universitarie.
https://www.wired.it/article/voldemort-malware-agenzia-entrate/
