Découverte d’une campagne de cyberespionnage via Google Sheets
Des chercheurs en cybersécurité ont récemment identifié une campagne de malware novatrice utilisant Google Sheets. Ce mécanisme de commande et de contrôle (C2) permet aux cyberattaquants de diriger des logiciels malveillants. Selon le rapport de Proofpoint publié le 5 août 2024, cette activité cible diverses organisations à travers le monde.
Des cybercriminels se faisant passer pour des autorités fiscales
Les attaquants se présentent comme des représentants de différentes administrations fiscales. Ils dirigent leurs campagnes vers des secteurs variés tels que l’assurance, l’aérospatiale et la finance. Les e-mails envoyés semblent provenir de ces autorités et alertent les destinataires sur des changements fiscaux. Ces messages les poussent à cliquer sur des URL menant à des pages malveillantes.
Un fonctionnement technique élaboré
Les pages malveillantes analysent la chaîne User-Agent pour détecter le système d’exploitation Windows. Si le système est compatible, un fichier de raccourci Windows est déguisé en PDF légitime. L’ouverture de ce fichier entraîne l’exécution de PowerShell qui, à son tour, lance un script Python via un partage WebDAV, sans nécessiter de téléchargement direct sur l’appareil.
Ce script collectera des informations sur le système avant de les transmettre sous forme codée à un domaine contrôlé par les cybercriminels. Pendant ce temps, un faux PDF apparaît pour distraire les utilisateurs, tandis qu’un fichier ZIP protégé par mot de passe est téléchargé à partir d’OpenDrive. Ce fichier ZIP renferme un exécutable ainsi qu’une DLL malveillante, nommée Voldemort, fonctionnant en tant que porte dérobée.
Une menace sophistiquée et persistante
Voldemort, écrit en langage C, est capable de recueillir des informations sensibles et de charger des charges utiles. Ce malware utilise Google Sheets pour exfiltrer des données, exécuter des commandes, et maintenir la communication avec ses opérateurs. Ainsi, Proofpoint a classé cette menace parmi les techniques avancées de cyberattaques persistantes (APT).
Les cybercriminels exploitent également les URI de schéma de fichiers pour accéder à des ressources malveillantes via WebDAV et Server Message Block (SMB). Cette approche se répand dans le paysage des logiciels malveillants, avec des exemples tels que Latrodectus et XWorm. La campagne en question se distingue par son large éventail, visant initialement un grand nombre de victimes avant de se concentrer sur des cibles spécifiques.
Questions persistantes sur les intentions des attaquants
Cette campagne allie des éléments sophistiqués à des techniques plus basiques, compliquant ainsi l’attribution des attaques. Les chercheurs estiment qu’il pourrait s’agir d’une opération d’espionnage, bien que les objectifs finaux demeurent flous, tout comme le niveau de compétence des cybercriminels.
La découverte de cette campagne coïncide avec une mise à jour du malware Latrodectus, constatée par Netskope Threat Labs, qui a introduit des fonctionnalités supplémentaires de porte dérobée. Cela lui permet de télécharger du shellcode et d’extraire des fichiers à distance, rendant ainsi la défense contre ces menaces d’autant plus délicate.
En résumé, la menace de la cybercriminalité continue d’évoluer, et cette campagne exploitant Google Sheets témoigne de la créativité croissante des attaquants. Ainsi, les organisations doivent demeurer vigilantes et renforcer leurs mesures de sécurité afin de se défendre contre ces nouvelles formes de cyberattaques.