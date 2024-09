Voldemort est de retour ! Et pour le coup, il en veut à vos économies...

Depuis le début du mois d'aout dernier, un nouveau malware baptisé Voldemort sévit en France. Repéré par les chercheurs de ProofPoint, il se présente comme un outil exploité par une organisation criminelle d'envergure, financée par un gouvernement étranger.

Le malware se fait passer par l'administration fiscale des gouvernements d'Europe, Asie et des États-Unis. Au total, ce sont 70 organisations qui auraient ainsi été usurpées à travers le monde pour cibler un maximum d'utilisateurs. Via une campagne de fishing, les utilisateurs français sont ainsi contactés au fil d'un mail envoyé par la Direction Générale des Finances publiques, du mois c'est ce qui parait.

Les pirates contactent ainsi leurs victimes leur indiquant que "dans le cadre de la mise à jour des taux d’imposition et du système fiscal en vigueur, il est impératif de procéder à une révision de vos informations fiscales ", invitant ainsi à mettre les "informations personnelles et fiscales à jour dans les plus brefs délais" ajoutant que "Cette mise à jour est essentielle pour le bon déroulement de vos déclarations et le calcul précis de vos obligations fiscales".

Pour mettre à jour ses informations, l'utilisateur est invité à télécharger la pièce jointe qui accompagne l'email... Document qui contient alors le malware Voldemort qui va s'installer sur l'ordinateur de la victime dès qu'il est téléchargé. Il se base alors que le gestionnaire de protocole URI Search-ms pour ouvrir un fichier en ligne qui va installer le malware.

Search-ms lance des recherches personnalités sur le PC et permet de retrouver très rapidement des fichiers ou informations ciblées sur la machine hôte, permettant ainsi au malware d'accéder en quelques minutes à des données personnelles et sensibles.

Avec Voldemort, c'est Google Sheets qui sert de serveur pour assurer le contrôle du malware à distance. Ce dernier se connecte au service de tableur de Google pour échanger avec le réseau cybercriminel. Il peut ainsi siphonner les données de la victime, exécuter des commandes, se mettre en pause pendant un temps avant de se réactiver...

Selon ProofPoint, Voldemort aurait été créé pour cibler principalement les compagnies d'assurance. Le malware chercherait à récupérer ainsi des informations