Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Recherche Proofpoint : Le malware "Voldemort" se fait passer pour les finances publiques françaises

août 2024 par ProofPoint

Les chercheurs en cybersécurité de Proofpoint viennent de publier une nouvelle recherche sur un malware inédit surnommé « Voldemort » par l’acteur de la menace.
En France, l’acteur de la menace se fait notamment passer pour la Direction Générale des Finances Publiques dont l’objectif est de collecter des renseignements auprès des organismes d’assurances.

Exemple de mail utilisé par l’acteur de la menace

L’activité malveillante, qui a été observée pour la première fois au début du mois d’août 2024, comprenait plus de 20 000 messages ayant un impact sur plus de 70 organisations dans le monde, en utilisant une chaîne d’attaque qui comprend plusieurs méthodes de commande et de contrôle (C2) actuellement populaires et peu courantes, comme l’utilisation de Google Sheets.

Les principales conclusions de l’étude sont les suivantes :
• L’activité a usurpé l’identité d’autorités fiscales de gouvernements d’Europe, d’Asie et des États-Unis (notamment HMRC et IRS).
• Le logiciel malveillant est soupçonné d’être utilisé à des fins d’espionnage, en raison de ses capacités de collecte de renseignements et de sa capacité à fournir des charges utiles supplémentaires, plutôt que pour réaliser des gains financiers. Proofpoint estime avec une confiance modérée qu’il s’agit d’un acteur APT.
• La chaîne d’attaque de Voldemort présente des fonctionnalités inhabituelles et personnalisées, notamment l’utilisation de Google Sheets pour le C2 et l’utilisation d’un fichier de recherche sauvegardé sur un partage externe.
• L’acteur de la menace a ciblé 18 secteurs verticaux différents, mais près d’un quart des organisations ciblées étaient des compagnies d’assurance.
• Les techniques utilisées dans cette campagne sont observées plus fréquemment dans le paysage cybercriminel, démontrant que les acteurs engagés dans des activités d’espionnage présumé utilisent souvent les mêmes tactiques, techniques et procédures que les acteurs de la menace motivés par des raisons financières.


Voir les articles précédents

    

Voir les articles suivants