Un nouveau type de cybermenace frappe durement les organisations à l’échelle mondiale. Le malware, surnommé « Voldemort », exploite les identités des autorités fiscales pour s’infiltrer dans les systèmes. Son mode opératoire combine ingénierie sociale et technologie avancée. Il parvient ainsi à compromettre des milliers de victimes sans être détecté.
Depuis le 5 août, des centaines d’organisations à travers le monde ont été ciblées par le malware « Voldemort ». Selon Proofpoint, plus de 20 000 courriels de phishing ont été identifiés. Ce malware utilise des techniques sophistiquées, notamment une porte dérobée personnalisée en langage C, pour voler des données et déployer d’autres logiciels malveillants.
Ce qui distingue cette attaque, c’est l’usage de Google Sheets pour la communication de commande et de contrôle (C2), ce qui rend les détections complexes. Une fois le logiciel téléchargé par la victime, il utilise une version légitime de WebEx pour charger une DLL malveillante.
Détournement des identités fiscales
L’attaque a pris une ampleur inquiétante le 17 août, avec près de 6 000 courriels de phishing envoyés en une journée. Les attaquants se sont fait passer pour des organismes fiscaux tels que l’IRS aux États-Unis, le HM Revenue & Customs au Royaume-Uni et la Direction générale des finances publiques en France.
Les messages, écrits dans la langue maternelle de chaque autorité, incluaient des domaines apparemment compromis pour ajouter à leur crédibilité. Bien que les objectifs exacts de cette campagne restent incertains, les chercheurs pensent qu’elle vise l’espionnage, vu les capacités de collecte de renseignements du malware.
Google et la menace des attaques discrètes
Les organisations utilisant les services Google sont particulièrement vulnérables à « Voldemort ». Les plateformes de Google étant généralement approuvées dans les environnements d’entreprise, les attaques peuvent passer inaperçues sans surveillance adéquate.
Mayuresh Dani, de Qualys Threat Research Unit, souligne que cette technique est connue sous le nom T1567.002 dans le cadre MITRE ATT&CK. Il recommande de surveiller les connexions inhabituelles vers les services cloud, surtout celles associées à des processus non liés au navigateur.
Vous aimerez aussi cet article:
Recommandations pour contrer l’usurpation d’identité
Omri Weinberg, cofondateur de DoControl, insiste sur l’importance de vérifier l’authenticité des communications gouvernementales. Les organisations doivent mettre en place des protocoles rigoureux pour traiter les demandes sensibles, notamment financières.
En outre, il est crucial d’éduquer les employés sur les menaces de phishing. Ils doivent apprendre à se méfier des messages non sollicités et des communications qui créent un sentiment d’urgence. Bien que les protocoles comme DMARC, SPF et DKIM puissent filtrer certains courriels frauduleux, la sensibilisation reste une barrière efficace.
La vigilance et la formation comme rempart
Jason Soroko, membre senior de Sectigo, recommande d’améliorer les systèmes de filtrage des courriels et de former les employés à reconnaître les messages suspects. L’authentification multifacteur (MFA) et la surveillance des comportements anormaux sont aussi essentielles pour renforcer la sécurité.
De plus, l’application régulière de correctifs et l’utilisation d’outils de détection et de réponse aux points d’extrémité peuvent aider à limiter les dégâts potentiels. La segmentation stricte du réseau et l’implémentation de pratiques de cryptage robustes sont également nécessaires pour protéger les données sensibles.
Protéger les organisations grâce à l’authentification des courriels
Les attaques comme « Voldemort » montrent l’importance d’adopter des protocoles d’authentification pour les courriels, tels que DMARC, SPF et DKIM. Ces mesures aident à prévenir les tentatives de phishing en vérifiant l’identité des expéditeurs.
L’usage de certificats S/MIME offre une couche supplémentaire de sécurité en garantissant l’authenticité des messages au sein des organisations. La combinaison de ces pratiques de sécurité peut non seulement réduire les risques d’attaques, mais aussi renforcer la confiance dans les communications internes et externes.
Le malware « Voldemort » représente une menace sérieuse pour les organisations. Il utilise des techniques avancées pour infiltrer les systèmes en se faisant passer pour des autorités de confiance. La vigilance, l’éducation des employés et l’adoption de bonnes pratiques de sécurité sont essentielles pour contrer ce type d’attaques. Les entreprises doivent rester sur leurs gardes et adapter continuellement leurs défenses face à des menaces toujours plus sophistiquées.
