Cybersecurity, occhio a Voldemort: cosa sapere sul malware che si finge il Fisco

• I cybercriminali lo stanno utilizzando per sottrarre dati sensibili alle loro vittime, e fra le realtà prese di mira ci sono tante compagnie assicurative. A rivelarlo è il Threat Research Team di Proofpoint, una società di cybersicurezza che ha identificato la nuova campagna malevola a partire dallo scorso 5 agosto

• Secondo i ricercatori, nel corso di queste settimane i cybercriminali hanno inviato alle loro vittime circa 20 mila messaggi di posta elettronica spacciandosi per le autorità fiscali di Europa, Asia e Stati Uniti
  

• Tra coloro che si sono visti sostituiti dal malware ci sono in particolare le agenzie fiscali negli Stati Uniti (Internal Revenue Service), in Italia (Agenzia delle Entrate), nel Regno Unito (Hm Revenue & Customs), in Francia (Direction Générale des Finances Publiques) e in Germania (Bundeszentralamt für Steuern). Successivamente ha anche colpito India (Income Tax Department) e Giappone (National Tax Agency). Ogni esca era personalizzata e scritta nella lingua dell’autorità impersonata

• Con il pretesto di notificare documenti ufficiali, gli hacker si sono infiltrati all'interno dei sistemi delle vittime. Hanno raggiunto più di 70 organizzazioni, al culmine della loro attività anche 6 mila in un solo giorno. Il veicolo del malware è l'oramai noto phishing
  

• Le e-mail, infatti, non sono altro che un'esca che impersona le autorità fiscali di un Paese e comunica alle vittime che ci sono informazioni fiscali aggiornate includendo link a documenti associati. Se la vittima interagisce viene indirizzata su un sito malevolo e scarica il malware
  

• La catena di attacco comprende diverse tecniche attualmente diffuse nel panorama delle minacce, oltre a metodi non comuni per il comando e il controllo (C2) come l’uso di Google Sheets. Particolarmente rilevanti sono la combinazione di tattiche, tecniche e procedure (Ttp), i temi di richiamo che impersonano agenzie governative di vari Paesi e la strana denominazione dei file e delle password come "test"
  

• Voldemort, come hanno constatato i ricercatori, ha notevoli capacità di raccolta dei dati anche attraverso l'esfiltrazione o l'eliminazione di file. Tanto che, osservando il fenomeno, gli esperti sono arrivati alla conclusione che i criminali informatici hanno "un interesse maggiore per lo spionaggio che per un ritorno finanziario". Circostanza che fa pensare che dietro questa campagna malevola si possa nascondere "il vero Voldemort", cioè un attore più minaccioso di quanto appare 
  

• Secondo l'analisi, oltre la metà delle organizzazioni prese di mira appartengono ai settori assicurativo, aerospaziale, dei trasporti e dell'istruzione. Nonostante i numerosi dettagli tecnici i ricercatori non sono però riusciti a identificare il fine ultimo di questa campagna: "Riteniamo - affermano - che si tratti probabilmente di un'attività di spionaggio condotta per supportare obiettivi finali ancora sconosciuti"
  

• Ma come fare per difendersi? In attesa di qualcuno o qualcosa che aiuti a debellare questo malware, Proofpoint consiglia di limitare l'accesso ai servizi di condivisione di file esterni ai server affidabili per difendersi da questa campagna malevola

Per approfondire:

Attacchi informatici, nel 2023 bloccate 45 milioni di email ad alto rischio: il report