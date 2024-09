Des chercheurs en cybersécurité ont découvert une campagne de malware inédite utilisant Google Sheets. Ce mécanisme de commande et de contrôle (C2) permet aux cyberattaquants de manipuler des logiciels malveillants. L'activité, détectée par Proofpoint le 5 août 2024, vise des organisations à travers le monde.

Les cybercriminels se font passer pour les autorités fiscales de divers pays. Ils ciblent des organisations dans des secteurs comme l'assurance, l'aérospatiale et la finance. Les e-mails envoyés prétendent provenir de ces autorités et alertent les destinataires de modifications fiscales. Ces messages les incitent à cliquer sur des URL qui les mènent vers des pages malveillantes.

Les pages malveillantes inspectent la chaîne User-Agent afin d'identifier le système d'exploitation Windows. Si le système est compatible, un fichier de raccourci Windows se fait passer pour un PDF légitime. Si l'utilisateur ouvre ce fichier, PowerShell exécute Python.exe via un partage WebDAV et lance un script Python sans téléchargement direct sur l'appareil.

Le script Python collecte des informations système et les envoie sous forme codée à un domaine contrôlé par les attaquants. Un PDF leurre s'affiche, tandis qu'un fichier ZIP protégé par mot de passe est téléchargé depuis OpenDrive. Ce fichier ZIP contient un exécutable et une DLL malveillante, Voldemort, qui agit comme une porte dérobée.

Un outil de cyberespionnage sophistiqué

Voldemort est une porte dérobée écrite en C, capable de collecter des informations sensibles et de charger des charges utiles. Ce malware utilise Google Sheets pour exfiltrer des données, exécuter des commandes et communiquer avec les opérateurs. De ce fait, les chercheurs de Proofpoint l'ont qualifié de complexe et lié à des menaces persistantes avancées (APT).

En outre, les cyberattaquants abusent des URI de schéma de fichiers pour accéder à des ressources malveillantes via WebDAV et Server Message Block (SMB). Cette méthode est de plus en plus courante parmi les logiciels malveillants, y compris Latrodectus et XWorm. La campagne reste inhabituelle, avec un large filet jeté avant de cibler spécifiquement certaines victimes.

Incertitudes sur les objectifs des attaquants

La campagne semble être un mélange d'éléments sophistiqués et de techniques basiques qui rendent l'identification des attaquants difficile. Les chercheurs estiment qu'il s'agit probablement d'une opération d'espionnage. Les objectifs finaux restent cependant inconnus, tout comme le niveau exact de compétence des cybercriminels impliqués.

La découverte de cette campagne coïncide avec une mise à jour du malware Latrodectus, observée par Netskope Threat Labs. La nouvelle version de ce malware ajoute des fonctionnalités de porte dérobée. Cette dernière lui permet de télécharger du shellcode et de récupérer des fichiers à distance. Ces évolutions rapides compliquent la défense contre ces menaces.

En somme, la menace cybercriminelle continue d'évoluer et cette campagne exploitant Google Sheets illustre la créativité des attaquants. Par conséquent, les organisations doivent rester vigilantes et renforcer leurs mesures de sécurité pour se protéger contre ces nouvelles formes de cyberattaques.

