La campagna “malevola” è iniziata il 20 agosto. Ventimila mail sono state diffuse a più di 70 organizzazioni mirate, raggiungendone seimila in un solo giorno al culmine della sua attività. Il malware si chiama Voldemort, come il mago oscuro della saga Harry Potter, e si sta diffondendo a livello globale. Si spaccia per le agenzie fiscali di Stati Uniti, Europa e Asia per memorizzare i dati rubati e fare spionaggio. In Italia, i cybercriminali si sono camuffati da Agenzia delle Entrate. Lo dice un rapporto della società di sicurezza Proofpoint. Secondo gli esperti di sicurezza, gli aggressori creano mail di phishing che impersonano le autorità fiscali di un Paese e comunicano che ci sono informazioni fiscali aggiornate includendo link a documenti associati. Se la vittima interagisce viene indirizzata su un sito malevolo e scarica il malware. Voldemort supporta una serie di comandi e azioni di gestione dei file, tra cui l’esfiltrazione di dati e l’eliminazione di file. Secondo l’analisi, oltre la metà delle organizzazioni prese di mira appartengono ai settori assicurativo, aerospaziale, dei trasporti e dell’istruzione. L’attore della minaccia dietro questa campagna è sconosciuto, ma Proofpoint ritiene che abbia l’obiettivo di condurre uno spionaggio informatico.
Riccardo Michetti, Senior Soc Threat Intelligence Analyst di Tinexta Cyber, sentito da Cybersecurity360, sostiene che “con la nuova backdoor rilevata dai ricercatori di Proofpoint abbiamo conferma di come i Threat Actor stiano abusando sempre maggiormente di servizi legittimi nelle loro campagne”. Per Luigi Martire, Tinexta Cyber Cert Technical Leader, “l’utilizzo di servizi legittimi per scopi malevoli, come mostrato dal caso di questa nuova campagna Voldemort sottolinea l’importanza di una vigilanza continua e di un approccio alla sicurezza integrato”. Michetti avverte che, “nel caso specifico, l’exfiltration avviene tramite Google Sheets. Ma ricordiamo come molti Threat Actor abusino regolarmente anche di altri canali come GitHub, Slack, Telegram, Microsoft e Cloduflare nella parte infrastrutturale e di Command&Control. L’utilizzo di Cloudflare per l’hosting di campagne di phishing e distribuzione malware, per esempio, è una pratica sempre più nota come rilevato anche nel report ThreatLandscape di Tinexta Cyber”.
Aggiornato il 04 settembre 2024 alle ore 16:13
