Un nouveau malware, identifié comme Voldemort, cible Google Sheets. Il se fait également passer pour des agences fiscales des États-Unis, d'Europe et d'Asie pour ouvrir et exploiter de multiples vecteurs d'attaque.

Le malware Voldemort cible Google Sheets

Une nouvelle campagne de malware a été identifiée et observée par Proofpoint. Le malware propage une porte dérobée jusqu'alors non documentée appelée « Voldemort ». Elle ne se limite pas à une région spécifique et se déroule en deux étapes.

Selon Ordinateur bipantVoldemort est essentiellement une porte dérobée en langage C. Il regroupe plusieurs commandes et actions de gestion de fichiers. Le malware peut également introduire de nouvelles charges utiles dans le système et même supprimer des fichiers. Cependant, sa fonction principale est l'exfiltration de données.

Il est inquiétant de constater que le malware Voldemort utilise Google Sheets comme serveur de commande et de contrôle (C2). De plus, ce malware utilise l'API de Google avec un identifiant client intégré, un secret et un jeton d'actualisation pour interagir avec Google Sheets.

Ces techniques permettent au malware Voldemort de rester discret. En d'autres termes, la communication réseau de Voldemort semble légitime et, par conséquent, les outils de sécurité ne parviennent pas à la signaler comme suspecte.

Google Sheets est l'un des services cloud les plus utilisés. Cela signifie que les équipes de sécurité ne peuvent pas simplement bloquer le service pour endiguer la propagation du malware Voldemort via Google Sheets.

Des logiciels malveillants se faisant passer pour des agents des impôts se propagent

Pour se propager, les pirates ont recours à de simples e-mails de phishing. Selon certaines informations, les attaquants recueillent l'emplacement de l'organisation d'une cible en se basant sur des informations publiques, puis envoient des e-mails de phishing.

Ces courriels se font passer pour les autorités fiscales du pays de l'organisation. Ils indiquent qu'ils contiennent des informations fiscales mises à jour. Le courriel contient des liens vers des documents « pertinents ». Inutile d'ajouter que ces liens sont des appâts.

Les chercheurs en sécurité ont observé que les liens dirigent les victimes vers une page de destination hébergée sur InfinityFree. Si le malware reconnaît qu'il se trouve sur un ordinateur Windows, il dirige les victimes vers un URI tunnellisé par TryCloudflare (Windows Search Protocol).

En interagissant avec le fichier, les victimes reçoivent un fichier ZIP déguisé en PDF. Il s'agit d'une technique courante dans les attaques de phishing, car les fichiers hébergés sur des serveurs distants apparaissent comme s'ils se trouvaient sur l'ordinateur local. Cela trompe les victimes en leur faisant croire qu'elles ont téléchargé le fichier et suppose que Microsoft Defender l'aurait analysé.

Pendant que la victime interagit avec le fichier, le malware Voldemort s'installe en arrière-plan. Pour infecter le système, il utilise un exécutable Cisco WebEx légitime (CiscoCollabHost.exe) et une DLL malveillante (CiscoSparkLauncher.dll).

Jusqu'à présent, les utilisateurs de PC Linux et de Mac OS sont immunisés contre les attaques de logiciels malveillants. Cependant, Proofpoint recommande de restreindre l'accès aux services de partage de fichiers externes. Les administrateurs système et réseau peuvent bloquer les connexions à TryCloudflare et surveiller les scripts PowerShell suspects exécutés sur les ordinateurs de bureau exécutant le système d'exploitation Windows.

A lire également