Voldemort : un malware qui pioche dans vos feuilles Google

Par Zineb Mouhoubi Publié le 01/09/2024 à 14 h 30 min
Voldemort
Voldemort - © Point GPhone

Cloudflare est considéré comme l’un des réseaux exécutés les plus sécurisés de la Toile. Son but est de protéger des millions de sites web contre les cyberattaques. Mais selon Proofpoint, une nouvelle campagne de phishing, s’appuyant sur ce service, fait des ravages aux États-Unis, en Europe et en Asie.

Un malware sobrement baptisé « Voldemort » sévit en usurpant l'identité des agences fiscales de divers pays depuis le 5 août 2024, ciblant de nombreux secteurs, tels que l’assurance, l’éducation, l'aéronautique ou encore les transports. Quel est donc ce nouveau virus dont l’objectif demeure encore flou ?

« Voldemort » : un virus à ne pas sous-estimer

Selon les rapports de Proofpoint, les hackers derrière cette campagne de phishing utilisent des courriels trempeurs pour inciter leurs victimes à cliquer sur un lien pour consulter un « document joint » prétendant contenir des informations fiscales mises à jour. Ce dernier est d’ailleurs hébergé sur InfinityFree et utilise des URL de Google AMP pour avoir l'air fiable.

À partir de là, deux scénarios se dessinent : si la victime utilise un ordinateur sous Windows, elle est automatiquement redirigée vers une URL tunnelisée par TryCloudflare. Dans le cas contraire, l’utilisateur se voit redirigé vers une URL Google Drive vide. Elle chargera une image via l’IP pingb.in. Un stratagème qui permet aux pirates de suivre les faits et gestes de la victime.

Une fois que cette dernière interagit avec le fichier frauduleux, l’explorateur Windows prend le relais pour exécuter un fichier LNK ou ZIP déguisé en PDF. Ce dernier exécute un script python qui collecte les données de la victime tout en affichant un faux document PDF qui masque l’activité malveillante. Un exécutable Cisco WebEx et une DLL malveillante sont également téléchargés pour permettre à « Voldemort » de se déployer.

Proofpoint a constaté que ce malware a été décelé dans plus de 20 000 messages et les hackers ont adapté le contenu des mails pour mieux correspondre aux pays de résidence des victimes.

Un malware fonctionnant avec Google !

Par ailleurs, les chercheurs de Proofpoint ont noté que Voldmort utilise Google Sheets pour dérober les données des victimes via un serveur C2 (Command & Control) et les noter dans des cellules spécifiques d’une feuille Google désignée par des identifiants uniques. Ce modus operandi n’est pas nouveau, car un groupe de Chinois APT41 avait déjà usé de ce stratagème.

Voici quelques commandes que Voldmort peut exécuter sans problème pour leurrer ses victimes :

  • Ping : un test de la connectivité entre le virus et le serveur ;
  • Download : téléchargement des données du système infecté vers le serveur ;
  • Exec : exécute un programme sur le système infecté ;
  • Sleep : met Voldemort en veille pour une durée spécifiée sans exécuter d’autres tâches en parallèle ;
  • Exit : met fin aux opérations sur le système infecté.

Afin de lutter efficacement contre ce type de malware sophistiqué, l’équipe de Proofpoint préconise l’usage de partage de fichiers uniquement avec des serveurs de confiance et bannir les connexions annexes à TryCloudflare en surveillant les exécutions suspectes dans le PowerShell.