Un nouveau logiciel malveillant, surnommé « Voldemort », a été découvert en France. Conçu pour voler des données confidentielles, il se fait passer pour la Direction Générale des Finances Publiques. L’attaque est l’œuvre d’un gang financé par un gouvernement…
Au début du mois d’aout 2024, un nouveau malware est passé dans le radar des chercheurs de ProofPoint. Le virus a été baptisé « Voldemort », en référence au grand méchant de la saga Harry Potter, par les cybercriminels derrière l’opération. Selon l’enquête menée par la société de sécurité californienne, il s’agit d’une vaste opération d’espionnage.
Dans un premier temps, les hackers commencent par usurper « l’identité d’autorités fiscales de gouvernements d’Europe, d’Asie et des États-Unis ». Depuis le début des activités malveillantes recensées, plus de 70 organisations dans le monde ont été usurpées. Au début de la campagne, quelques centaines de messages par jour ont été recensés par ProofPoint. Les cybercriminels ont vite accéléré la cadence. Le 17 aout, près de 6 000 mails ont été envoyés par les hackers en 24 heures.
Mettre à jour ses « informations fiscales »
En France, les pirates ont choisi de se faire passer pour la Direction Générale des Finances Publiques, l’administration responsable de la collecte des impôts et des cotisations sociales. Les pirates vont alors entrer en contact avec leurs victimes par mail. Le courriel indique que « dans le cadre de la mise à jour des taux d’imposition et du système fiscal en vigueur, il est impératif de procéder à une révision de vos informations fiscales ». Les assaillants demandent à la victime de bien vouloir mettre à jour ses « informations personnelles et fiscales dans les plus brefs délais ».
« Cette mise à jour est essentielle pour le bon déroulement de vos déclarations et le calcul précis de vos obligations fiscales », explique le mail frauduleux pour pousser la cible à obtempérer.
Afin de mettre à jour ses informations fiscales, l’internaute doit télécharger la pièce jointe qui accompagne le mail. Sans surprise, le document va aboutir au téléchargement du malware Voldemort sur votre ordinateur. Concrètement, il va s’appuyer sur le gestionnaire de protocole URI « search-ms: » pour ouvrir un fichier en ligne chargé de pousser le malware. Intégré à Windows, « search-ms: » va lancer des recherches personnalisées sur le PC. Il permet de retrouver facilement des fichiers ou des informations sur la machine. Cet outil est massivement détourné par les pirates. De l’aveu de Microsoft, le protocole a par exemple été exploité par les hackers russes d’APT28.
« En général, les pirates abusent du protocole de recherche Windows (search-ms) afin d’afficher localement, dans un dossier, les fichiers hébergés sur une machine distante. Cette technique est souvent utilisée pour déployer divers chevaux de Troie d’accès à distance », fait remarquer ProofPoint.
Google Sheets en guise de serveur de contrôle
Habituellement, des serveurs de commande et de contrôle sont utilisés par des cybercriminels pour communiquer avec les appareils infectés par leurs logiciels malveillants. Dans ce cas-ci, c’est Google Sheets, le fameux tableur en ligne, qui est détourné pour servir de serveur. Pour recevoir des instructions, le virus se connecte en effet au service de tableur. C’est une procédure tout à fait inhabituelle.
Une fois présent sur l’ordinateur visé et relié à Sheets, Voldemort peut tester la connexion avec son serveur, lister et répertorier des fichiers sur le système, télécharger ou envoyer des fichiers, exécuter des commandes, se mettre en pause, ou s’arrêter complètement. C’est évidemment à ce moment-là que les pirates obtiennent ce qu’ils sont venus chercher sur l’ordinateur : des données confidentielles.
Une campagne d’espionnage financée par un État
Dans le viseur des espions, on trouve essentiellement des compagnies d’assurance. Selon ProofPoint, Voldemort a été conçu pour s’emparer des informations détenues par certaines compagnies. Le virus vise aussi des entreprises des secteurs de l’aérospatiale, des transports et de l’éducation. ProofPoint estime que la cyberattaque a vraisemblablement été orchestrée par un gang de pirates financés par un gouvernement.
Pour le moment, les chercheurs n’ont cependant pas pu remonter jusqu’à un groupuscule en particulier. Comme le rapportent nos confrères de Bleeping Computer, un gang connu sous le nom de code d’APT41 s’est déjà fait remarquer en exploitant Google Sheets par le passé. Parrainé par l’État chinois, le gang s’est appuyé sur un outil open source baptisé « Google Command and Control », et taillé pour détourner les services légitimes de Google, comme Google Sheets, Google Forms ou Google Drive, à des fins malveillantes. Il est connu pour cibler les industries aux États-Unis, en Asie et en Europe depuis plus de dix ans.
source:01net