Les chercheurs en cybersécurité de Proofpoint soupçonnent que ce malware soit utilisé à des fins d’espionnage.
Voldemort n’est pas mort. Les chercheurs en cybersécurité de Proofpoint ont publié une étude sur un malware inédit affublé du nom du célèbre sorcier. Pour diffuser le malware, les acteurs malveillants, inconnus à ce jour, usurpent l’identité des autorités fiscales du monde entier. Le malware a été repéré pour la première fois début août, lorsqu’une activité malveillante a envoyé quelque 20 000 messages à 70 organisations à travers le monde pour les informer d’un changement concernant leurs déclarations fiscales. En France, il se fait passer pour la Direction Générale des Finances Publiques. Proofpoint soupçonne que le malware est utilisé à des fins d’espionnage, étant donné qu’il peut collecter des renseignements et déposer des charges utiles supplémentaires. L’acteur de la menace semble cibler des compagnies d’assurance dans un quart des cas.
Des fonctionnalités inhabituelles
« Proofpoint évalue avec une confiance modérée qu'il s'agit probablement d'un acteur de menace avancé et persistant (APT) ayant pour objectif la collecte de renseignements. Cependant, Proofpoint ne dispose pas de suffisamment de données pour attribuer avec une haute confiance le malware à un acteur de menace spécifique (TA). » décrivent les chercheurs.
La chaîne d’attaque du malware présente des fonctionnalités inhabituelles, telles que l’utilisation de Google Sheets comme serveur de commande et de contrôle (C2) des cybercriminels et l'utilisation d'un fichier de recherche sauvegardé sur un partage externe.