Un malware « Voldemort » menace la sécurité en France
Un nouveau logiciel malveillant, dénommé « Voldemort », a récemment été identifié en France. Ce malware, conçu pour dérober des données sensibles, se fait passer pour la Direction Générale des Finances Publiques. Cette menace est associée à un gang soutenu par un état.
Découverte du malware Voldemort
Au début du mois d’août 2024, des chercheurs de ProofPoint ont mis en lumière l’existence de ce malware. Son nom, « Voldemort », fait référence à l’antagoniste de la saga Harry Potter, choisi par les cybercriminels à l’origine de l’attaque. L’enquête effectuée par la société de sécurité californienne révèle qu’il s’agit d’une opération d’espionnage d’ampleur.
Les hackers commencent par usurper « l’identité d’autorités fiscales de gouvernements d’Europe, d’Asie et des États-Unis ». Depuis le début de leurs activités, plus de 70 organisations à travers le monde ont été ciblées. Initialement, plusieurs centaines de courriels étaient envoyés chaque jour, mais cette cadence a rapidement été augmentée. Le 17 août, près de 6 000 messages ont été expédiés en l’espace de 24 heures.
Une usurpation inquiétante en France
Les pirates choisissent de se faire passer pour la Direction Générale des Finances Publiques en France, l’organisme en charge de la collecte des impôts et cotisations sociales. Ils contactent leurs victimes par courriel, indiquant qu’il est impératif de procéder à une mise à jour de leurs informations fiscales.
Le courriel invite la cible à mettre à jour ses « informations personnelles et fiscales dans les plus brefs délais ». Le message frauduleux précise : « Cette mise à jour est essentielle pour le bon déroulement de vos déclarations et le calcul précis de vos obligations fiscales. »
Pour effectuer cette mise à jour, la victime doit télécharger une pièce jointe au courriel, qui s’avère être le vecteur du malware Voldemort. Ce dernier utilise le gestionnaire de protocole URI « search-ms: » pour ouvrir un fichier en ligne, facilitant l’infection de l’ordinateur de la victime. Ce protocole est couramment détourné par les cybercriminels, comme l’a signalé Microsoft.
Google Sheets utilisé comme serveur de contrôle
Traditionnellement, les cybercriminels communiquent avec les dispositifs infectés via des serveurs de commande et de contrôle. Cependant, dans le cas du malware Voldemort, Google Sheets est détourné pour servir de serveur. Le virus se connecte à ce service de tableur pour recevoir des instructions, ce qui constitue une méthode peu conventionnelle.
Une fois installé sur l’ordinateur ciblé et en liaison avec Google Sheets, Voldemort peut tester la connexion à son serveur, répertorier des fichiers, télécharger ou envoyer des documents, exécuter des commandes, ou même se mettre en pause. Cela permet aux pirates d’accéder aux données sensibles détenues sur l’appareil infecté.
Une opération d’espionnage étatique
Les cibles privilégiées de cette campagne incluent principalement des compagnies d’assurance. Selon ProofPoint, ce malware vise à dérober des informations critiques au sein de certaines entreprises. D’autres secteurs comme l’aérospatiale, les transports et l’éducation sont également dans le collimateur des cybercriminels. L’enquête suggère que cette cyberattaque est liée à un gang de pirates, soutenu par un gouvernement.
À l’heure actuelle, les chercheurs n’ont pas encore réussi à identifier avec précision le groupe responsable. D’après des sources comme Bleeping Computer, un gang connu sous le nom de code APT41 a déjà utilisé des méthodes similaires, exploitant les services légitimes de Google à des fins malveillantes.
La menace que représente ce malware souligne l’importance croissante de la cybersécurité et la nécessité de vigilance face à ces attaques orchestrées à l’échelle mondiale.