France : le nouveau malware Voldemort se fait passer pour les impôts !
Quel est le lien entre Voldemort et les finances publiques françaises ? La réponse : une campagne malveillante particulièrement active depuis début août 2024. Voici ce qu'il faut savoir sur cette menace.
Un nouveau rapport publié par les chercheurs en sécurité de Proofpoint met en lumière un nouveau logiciel malveillant surnommé Voldemort. Il est utilisé dans le cadre d'une campagne malveillante qui vise à usurper l'identité des autorités fiscales de différents pays, dont la France.
Pour ceux qui n'auraient pas la référence, Voldemort, c'est le nom du vilain sorcier dans la saga Harry Potter. Bien que ce nom puisse surprendre, ce n'est pas la première fois que le nom d'un malware s'inspire d'un personnage présent dans un film.
Revenons à cette menace et son activité. "L'activité a consisté à se faire passer pour des autorités fiscales de gouvernements d'Europe, d'Asie et des États-Unis et a ciblé des dizaines d'organisations dans le monde entier.", peut-on lire dans le rapport.
En France, l'identité de la direction générale des Finances publiques (DGFIP) est usurpée par les cybercriminels. Depuis le 5 août 2024, Proofpoint évoque plus de 20 000 e-mails envoyés à de potentielles victimes, en prétextant une modification de la déclaration fiscale. À chaque fois, le message est personnalisé et rédigé dans la langue du service usurpé, ce qui implique d'être particulièrement vigilant.
Tout commence par un e-mail envoyé à la victime, où se situe un lien qui renvoie vers une page hébergée sur InfinityFree. L'utilisateur est alors redirigé vers une page où se situe un bouton présent pour l'inviter à cliquer pour voir le document. Il y a ensuite un mécanisme de détection de l'OS, pour la suite des opérations. Dans le cas de Windows, un appel via search-ms URI est réalisé, et le document au format PDF visible sur l'image ci-dessus est téléchargé à partir d'un hôte distant, via SMB ou WebDAV.
Un script Python télécharge un exécutable Cisco WebEx légitime et une bibliothèque DLL malveillante (nommée "CiscoSparkLauncher.dll") pour charger le malware Voldemort. Ce logiciel malveillant se présente comme une porte dérobée codée en C.
Enfin, Voldemort a la particularité d'utiliser le service Google Sheets en tant que serveur C2. C'est donc via ce service que les données sont exfiltrées et que des ordres sont reçus.
Quel est l'objectif des cybercriminels ?
La nature de l'activité et les capacités de ce logiciel malveillant montre qu'il s'agirait d'une campagne mise en place à des fins d'espionnage, plutôt que dans l'objectif de faire du profit. En tout cas, pour le moment.
"L'objectif final de la campagne n'est pas connu, mais Voldemort dispose de capacités de collecte de renseignements et de livraison de payloads supplémentaires.", peut-on lire dans le rapport des chercheurs.
Il pourrait s'agir d'un acteur APT, même si les chercheurs n'en ont pas la certitude. Dans certains cas, les groupes APT sont soutenus par un État, mais ici, ce n'est qu'une hypothèse.