
Une nouvelle campagne de logiciels malveillants diffuse une porte dérobée précédemment non documentée nommée « Voldemort » à des organisations du monde entier, se faisant passer pour des agences fiscales des États-Unis, d’Europe et d’Asie.
Selon un rapport de Proofpoint, la campagne a débuté le 5 août 2024 et a diffusé plus de 20 000 courriels à plus de 70 organisations ciblées, atteignant 6 000 en une seule journée au plus fort de son activité.
Plus de la moitié de toutes les organisations ciblées appartiennent aux secteurs de l’assurance, de l’aérospatiale, des transports et de l’éducation. L’auteur de la menace derrière cette campagne est inconnu, mais Proofpoint pense que l’objectif le plus probable est de mener du cyberespionnage.
L’attaque est similaire à ce que Proofpoint a décrit au début du mois, mais impliquait un malware différent défini dans la phase finale.
Usurper l’identité des autorités fiscales
Un nouveau rapport de Proofpoint indique que les attaquants créent des e-mails de phishing pour correspondre à l’emplacement d’une organisation ciblée sur la base d’informations publiques.
Les courriels de phishing usurpent l’identité des autorités fiscales du pays de l’organisation, indiquant qu’il existe des informations fiscales à jour et incluent des liens vers des documents associés.

En cliquant sur le lien, les destinataires sont dirigés vers une page de destination hébergée sur InfinityFree, qui utilise les URL du cache Google AMP pour rediriger la victime vers une page avec un bouton » Cliquer pour afficher le document ».
Lorsque vous cliquez sur le bouton, la page vérifie l’agent utilisateur du navigateur et, si c’est pour Windows, redirige la cible vers un URI de recherche ms (Protocole de recherche Windows) qui pointe vers un URI tunnelé TryCloudflare. Les utilisateurs non Windows sont redirigés vers une URL Google Drive vide qui ne diffuse aucun contenu malveillant.
Si la victime interagit avec le fichier search-ms, l’Explorateur Windows est déclenché pour afficher un LIEN ou un fichier ZIP déguisé en PDF.
L’utilisation de search-ms: URI est devenue populaire ces derniers temps avec les campagnes de phishing, car même si ce fichier est hébergé sur un partage WebDAV/SMB externe, il apparaît comme s’il résidait localement dans le dossier Téléchargements pour inciter la victime à l’ouvrir.il.

Cela exécute un script Python à partir d’un autre partage WebDAV sans le télécharger sur l’hôte, qui effectue la collecte d’informations système pour profiler la victime. En même temps, un PDF leurre s’affiche pour masquer l’activité malveillante.

Le script télécharge également un exécutable Cisco WebEx légitime (CiscoCollabHost.exe) et une DLL malveillante (CiscoSparkLauncher.dll) pour charger Voldemort en utilisant le chargement latéral DLL.
Utilisation abusive de Google Sheets
Voldemort est une porte dérobée basée sur C qui prend en charge un large éventail de commandes et d’actions de gestion de fichiers, y compris l’exfiltration, l’introduction de nouvelles charges utiles dans le système et la suppression de fichiers.
La liste des commandes prises en charge est donnée ci-dessous:
- Ping-Teste la connectivité entre le logiciel malveillant et le serveur C2.
- Dir-Récupère une liste de répertoires du système infecté.
- Télécharger-Télécharge les fichiers du système infecté vers le serveur C2.
- Télécharger-Télécharge des fichiers du serveur C2 vers le système infecté.
- Exec-Exécute une commande ou un programme spécifié sur le système infecté.
- Copier-Copie des fichiers ou des répertoires dans le système infecté.
- Déplacer-Déplace des fichiers ou des répertoires dans le système infecté.
- Veille-Met le logiciel malveillant en mode veille pendant une durée spécifiée, pendant laquelle il n’effectuera aucune activité.
- Quitter-Met fin à l’opération du logiciel malveillant sur le système infecté.
Une caractéristique notable de Voldemort est qu’il utilise Google Sheets comme serveur de commande et de contrôle (C2), l’envoyant une requête ping pour obtenir de nouvelles commandes à exécuter sur l’appareil infecté et comme référentiel pour les données volées.
Chaque machine infectée écrit ses données dans des cellules spécifiques de la feuille Google, qui peuvent être désignées par des identifiants uniques tels que des UUID, garantissant l’isolement et une gestion plus claire des systèmes piratés.

Voldemort utilise l’API de Google avec un identifiant client intégré, un secret et un jeton d’actualisation pour interagir avec Google Sheets, qui sont stockés dans sa configuration cryptée.
Cette approche fournit au logiciel malveillant un canal C2 fiable et hautement disponible, et réduit également la probabilité que les communications réseau soient signalées par les outils de sécurité. Comme Google Sheets est couramment utilisé dans l’entreprise, cela rend également le blocage du service peu pratique.
En 2023, le groupe de piratage chinois APT 41 utilisait auparavant Google Sheets comme serveur de commande et de contrôle grâce à l’utilisation de la boîte à outils GC2 de red-teaming.
Pour se défendre contre cette campagne, Proofpoint recommande de limiter l’accès aux services de partage de fichiers externes aux serveurs de confiance, de bloquer les connexions à TryCloudflare si elles ne sont pas activement nécessaires et de surveiller l’exécution suspecte de PowerShell.