“Cher contribuable, nous vous informons que, dans le cadre de la mise à jour des taux d’imposition et du système fiscal en vigueur, il est impératif de procéder à une révision de vos informations fiscales.” Voici le genre d’email malveillant qu’a vu passer l’entreprise de cybersécurité Proofpoint cet été.
En tout, elle a compté l’envoi de plus de 20 000 messages visant 70 organisations dans le monde. Dont certains contre des utilisateurs français, en témoigne ce message usurpant l’identité de la direction générale des finances publiques. Cette campagne malveillante a été baptisée “Voldemort”, un clin d’œil à la saga littéraire Harry Potter volontairement glissé par les pirates à leur malware.
Faux fichier PDF
Pour mettre à jour ses informations fiscales, le destinataire du courrier électronique de hameçonnage était tout d’abord invité à cliquer sur un lien. Comme la société l’explique dans un rapport publié récemment, ce clic malencontreux permettait de séparer les utilisateurs Windows des autres.
Dans le cas où la machine visée tournait bien avec le logiciel phare de l’éditeur de Redmond, le programme malveillant faisait ouvrir l’explorateur de fichiers à sa cible. Il s’agissait alors d’inciter cette dernière à cliquer sur une icône pdf. Ce raccourci, qui tente de se faire passer pour un fichier hébergé en local, lançait en réalité le déclenchement d’un script écrit en Python.
Porte dérobée
A ce stade, l’utilisateur trompé avait ouvert une porte dérobée sur son terminal en téléchargeant le programme malveillant Voldemort_gdrive_dll.dll. Cette backdoor est “dotée de capacités de collecte d’informations et capable de charger des charges utiles supplémentaires”, remarque Proofpoint.
Détail atypique: l’attaquant pouvait l’activer à distance grâce à Google Sheets, le tableur excel en ligne de la célèbre entreprise éponyme. “La chaîne d’attaque de Voldemort possède des fonctionnalités inhabituelles et personnalisées”, relève à ce sujet Proofpoint.
Même si la campagne malveillante a des points communs avec des activités cybercriminelles classiques, le but n’est en effet visiblement pas de réaliser des gains financiers. Mais d’ouvrir des portes, notamment dans le secteur de l’assurance.
Ce qui laisse à penser à Proofpoint qu’il s’agit vraisemblablement d’un piratage à des fins d’espionnage mené par un groupe d’attaquants structuré. En cas de doute sur l’authenticité d’un email, le plus sûr est de ne pas cliquer sur les liens proposés.