Des cybercriminels l’ont propagé en se faisant passer pour des autorités fiscales gouvernementales, en Europe, en Asie et aux États-Unis.

La société de cybersécurité Proofpoint a alerté, le 29 août 2024, sur un nouveau malware, baptisé « Voldemort » par l’acteur de la menace, diffusé via une campagne malveillante « inhabituelle ». L’opération est récente, avec un pic d’activité mi-août 2024, et a notamment visé l’Allemagne, les États-Unis, la France, l’Inde, l’Italie, le Japon ou le Royaume-Uni.

Pour propager le malware, les cybercriminels se sont fait passer pour des autorités fiscales gouvernementales. En France, ils ont ainsi usurpé l’identité de la Direction générale des finances publiques (DGFIP). Les attaquants ont envoyé plus de 20 000 messages à des milliers d’organisations, en leur faisant croire à une erreur dans leur déclaration fiscale.

Chaque message était personnalisé, crédible et rédigé dans la langue de la cible. « La chaîne d’attaque de Voldemort comporte des fonctionnalités inhabituelles et personnalisées, notamment l’utilisation de Google Sheets pour l’interface de commande et de contrôle (C2) et l’utilisation d’un fichier de recherche sauvegardé sur un partage externe », précise Proofpoint.

Selon la société de cybersécurité, l’objectif des cybercriminels est informationnel. « Le logiciel est soupçonné d’être utilisé à des fins d’espionnage, en raison de ses capacités de collecte de renseignements et de sa capacité à fournir des charges utiles supplémentaires, plutôt que pour réaliser des gains financiers », lit-on ainsi dans le rapport.

Proofpoint admet de ne pas disposer actuellement d’assez de données pour attribuer Voldemort à un acteur malveillant. Mais les chercheurs estiment probable qu’il s’agisse d’un groupe de « menace avancée persistante » (« advanced persistent threat », ou APT), sans doute affilié à un État. 

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.