Logiciel malveillant Voldemort
Des chercheurs en cybersécurité ont identifié une nouvelle campagne de malware qui utilise Google Sheets comme plate-forme de commande et de contrôle (C2).
Détectée par des chercheurs en août 2024, cette campagne d'attaque se fait passer pour des autorités fiscales d'Europe, d'Asie et des États-Unis et cible plus de 70 organisations dans le monde. Les attaquants utilisent un outil personnalisé appelé Voldemort, conçu pour collecter des informations et déployer des logiciels malveillants supplémentaires.
Les secteurs ciblés sont les assurances, l'aéronautique, les transports, le monde universitaire, la finance, la technologie, l'industrie, la santé, l'automobile, l'hôtellerie, l'énergie, le gouvernement, les médias, la fabrication, les télécommunications et les organismes à but social. Bien que la campagne de cyberespionnage n'ait pas été liée à un acteur malveillant spécifique, on estime que jusqu'à 20 000 e-mails ont été envoyés lors de ces attaques.
Table des matières
Vecteur de compromis initial exploité par les attaquants
Les e-mails découverts prétendent provenir des autorités fiscales des États-Unis, du Royaume-Uni, de France, d'Allemagne, d'Italie, d'Inde et du Japon, informant les destinataires des mises à jour de leurs déclarations fiscales et les invitant à cliquer sur les URL de Google AMP Cache qui les dirigent vers une page de destination intermédiaire.
Cette page vérifie la chaîne User-Agent pour déterminer si le système d'exploitation de l'utilisateur est Windows. Si tel est le cas, la page utilise le gestionnaire de protocole search-ms: URI pour présenter un fichier de raccourci Windows (LNK) déguisé en PDF à l'aide d'Adobe Acrobat Reader dans le but de tromper la victime pour qu'elle l'ouvre.
Si le fichier LNK est exécuté, il déclenche PowerShell pour exécuter Python.exe à partir d'un partage WebDAV (\library), en passant un script Python situé sur un autre partage (\resource) sur le même serveur comme argument.
Comment le malware Voldemort est déployé sur les systèmes compromis
Cette méthode permet à Python d'exécuter le script sans enregistrer aucun fichier sur l'ordinateur, les dépendances étant directement chargées à partir du partage WebDAV.
Le script Python est programmé pour collecter des informations système et les transmettre sous forme de chaîne codée en Base64 à un domaine contrôlé par les attaquants. Il affiche ensuite un PDF leurre à l'utilisateur et télécharge un fichier ZIP protégé par mot de passe depuis OpenDrive.
L'archive ZIP contient deux fichiers : un exécutable légitime, « CiscoCollabHost.exe », qui est vulnérable au chargement latéral de DLL, et un fichier DLL malveillant, « CiscoSparkLauncher.dll » (connu sous le nom de Voldemort), qui est chargé latéralement par l'exécutable.
Capacités de la menace du malware Voldemort
Voldemort est une porte dérobée personnalisée écrite en C qui offre des capacités de collecte d'informations et de chargement de charges utiles de prochaine étape, le malware utilisant Google Sheets pour le C2, l'exfiltration de données et l'exécution de commandes des opérateurs.
Les chercheurs ont décrit l’activité comme étant alignée sur les menaces persistantes avancées (APT) mais présentant des caractéristiques de cybercriminalité en raison de l’utilisation de techniques populaires dans le paysage de la cybercriminalité.
Les acteurs malveillants exploitent les URI de schéma de fichiers pour accéder à des ressources de partage de fichiers externes pour la préparation de programmes malveillants, en particulier WebDAV et Server Message Block (SMB). Cela se fait en utilisant le schéma « file:// » et en pointant vers un serveur distant hébergeant le contenu menaçant.
Cette approche est de plus en plus répandue parmi les familles de logiciels malveillants qui agissent comme courtiers d'accès initiaux (IAB), tels que Latrodectus , DarkGate et XWor m.
Le but de l'attaquant reste inconnu
Cette campagne malveillante a été jugée inhabituelle, ce qui suggère que les auteurs de la menace ont peut-être d'abord ciblé un large éventail de victimes potentielles avant de se concentrer sur un groupe restreint. Il est également possible que les attaquants, qui semblent posséder différents niveaux d'expertise technique, aient voulu compromettre plusieurs organisations.
Bien que de nombreux aspects de la campagne ressemblent à des activités cybercriminelles classiques, nous pensons qu'il s'agit probablement d'une opération d'espionnage visant à atteindre des objectifs encore inconnus. Le mélange de tactiques avancées et astucieuses de la campagne, combiné à certaines techniques de base, complique l'évaluation des capacités de l'acteur de la menace et rend difficile la détermination de ses objectifs ultimes avec une grande certitude.
