LEBIGDATA.FR I.A, Cloud & Cybersécurité
Un nouveau malware du nom de « Voldemort » se propage à travers le globe. Développé pour imiter les services financiers publics, ce logiciel malveillant intrigue par ses techniques variées. Mais qui se cache derrière cette attaque ? L’article vous dit tout !
Des chercheurs ont récemment découvert une nouvelle menace qui secoue la cybersécurité mondiale. Baptisé « Voldemort », ce malware a déjà ciblé plus de 70 entreprises dans de nombreux secteurs à travers le monde. Il a donc usurpé l’identité de la direction générale des Finances publiques (DGFIP) en France et dans d’autres pays. Malgré les efforts des experts, l’auteur de cette attaque demeure inconnu et le mystère sur ses intentions réelles plane encore.
Voldemort : un malware loup déguisé en agneau d’autorité fiscal
En août 2024, les professionnels de Proofpoint ont découvert cette nouvelle campagne de phishing qui utilise Voldemort, le malware. Débutant le 5 août, plus de 20 000 e-mails frauduleux ont été diffusés. Cela a ensuite atteint un pic de 6 000 messages le 17 août.
Ici, les cybercriminelles se font passer pour des autorités fiscales de plusieurs pays. Notamment, la France, les États-Unis, l’Allemagne, le Royaume-Uni, l’Italie, l’Inde et le Japon. Ceux-ci ont envoyé des messages qui prétendent informer les destinataires de changements fiscaux. Les cibles de Voldemort incluent des compagnies d’assurance, des entreprises aérospatiales et des universités.
Par conséquent, il est difficile d’identifier l’auteur ainsi que l’objectif précis de ce genre d’attaque. Toutefois, les experts estiment que le but principal de Voldemort serait probablement d’acquérir des renseignements stratégiques.
Les techniques mixtes du malware : entre espionnage et cybercriminalité
Selon les chercheurs : « Il est intéressant de noter que l’attaquant a utilisé plusieurs techniques de plus en plus répandues dans le paysage de la cybercriminalité, ce qui, outre le volume et le ciblage qui correspondent davantage aux campagnes de cybercriminalité, est inhabituel« . Ces pirates informatiques incitent donc les destinataires à télécharger des pièces jointes suspectes. Une fois ouvertes, elles déposent une DLL vulnérable qui permet aux attaquants de lancer le malware.
Pour piéger les utilisateurs Windows par exemple, ces malfrats exploitent une méthode ingénieuse. Après avoir cliqué sur le lien, les victimes sont redirigées via InfinityFree et Google AMP vers une page incitant à « afficher le document. », et ensuite dirigés vers un fichier « search-ms ». Celui-ci déclenche l’Explorateur Windows pour afficher un faux PDF. Ce fichier, déguisé en LNK ou ZIP, lance un script Python virulent pour collecter des informations système. Simultanément, ce PDF masque l’activité. La campagne installe un exécutable Cisco WebEx légitime et une DLL malveillante pour charger Voldemort via le chargement latéral de DLL.
Cette nouvelle porte dérobée se distingue également par son usage inhabituel de Google Sheets. Les pirates exploitent ce dernier pour recevoir des commandes et exfiltrer des données sensibles, au lieu d’un serveur traditionnel de commande et contrôle (C2). Cette méthode s’accompagne de tactiques, techniques et procédures (TTP) complexes comme des thèmes de tromperie imitant des agences gouvernementales. Initialement perçue comme une activité d’équipe rouge, l’analyse approfondie suggère qu’il s’agit d’un acteur de la menace. C’est peut-être un groupe APT (Advanced Persistent Threat) soutenu par un État qui veut mener des attaques persistantes.
Avez-vous déjà été victime d’une campagne de phishing similaire ? Racontez-nous votre histoire ou vos impressions sur cette attaque dans les commentaires !
Restez à la pointe de l’information avec LEBIGDATA.FR !
Abonnez-vous à notre chaîne YouTube et rejoignez-nous sur Google Actualités pour garder une longueur d’avance.
- Partager l'article :
