Des chercheurs en cybersécurité ont découvert une nouvelle campagne de malware qui utilise Google Sheets comme mécanisme de commande et de contrôle (C2).
L’activité, détecté par Proofpoint à partir du 5 août 2024, se fait passer pour les autorités fiscales des gouvernements d’Europe, d’Asie et des États-Unis, dans le but de cibler plus de 70 organisations dans le monde au moyen d’un outil sur mesure appelé Voldemort, équipé pour collecter des informations et fournir des charges utiles supplémentaires.
Les secteurs ciblés comprennent l’assurance, l’aérospatiale, les transports, le monde universitaire, la finance, la technologie, l’industrie, la santé, l’automobile, l’hôtellerie, l’énergie, le gouvernement, les médias, la fabrication, les télécommunications et les organismes à but social.
La campagne de cyberespionnage présumée n’a pas été attribuée à un acteur malveillant nommément désigné. Pas moins de 20 000 messages électroniques ont été envoyés dans le cadre de ces attaques.
Ces e-mails prétendent provenir des autorités fiscales des États-Unis, du Royaume-Uni, de France, d’Allemagne, d’Italie, d’Inde et du Japon, alertant les destinataires des modifications apportées à leurs déclarations fiscales et les exhortant à cliquer sur les URL de Google AMP Cache qui redirigent les utilisateurs vers une page de destination intermédiaire.
Ce que fait la page est d’inspecter le Chaîne d’agent utilisateur pour déterminer si le système d’exploitation est Windows et, si tel est le cas, exploiter le gestionnaire de protocole search-ms: URI pour afficher un fichier de raccourci Windows (LNK) qui utilise Adobe Acrobat Reader pour se faire passer pour un fichier PDF dans le but d’inciter la victime à le lancer.
« Si le LNK est exécuté, il invoquera PowerShell pour exécuter Python.exe à partir d’un troisième partage WebDAV sur le même tunnel (library), en passant un script Python sur un quatrième partage (resource) sur le même hôte en tant qu’argument », ont déclaré les chercheurs de Proofpoint Tommy Madjar, Pim Trouerbach et Selena Larson.
« Cela oblige Python à exécuter le script sans télécharger aucun fichier sur l’ordinateur, les dépendances étant chargées directement à partir du partage WebDAV. »
Le script Python est conçu pour collecter des informations système et envoyer les données sous la forme d’une chaîne codée en Base64 à un domaine contrôlé par un acteur, après quoi il affiche un PDF leurre à l’utilisateur et télécharge un fichier ZIP protégé par mot de passe depuis OpenDrive.
L’archive ZIP, quant à elle, contient deux fichiers, un exécutable légitime « CiscoCollabHost.exe » qui est susceptible d’être chargé latéralement par DLL et un fichier DLL malveillant « CiscoSparkLauncher.dll » (c’est-à-dire Voldemort) qui est chargé latéralement.
Voldemort est une porte dérobée personnalisée écrite en C qui offre des capacités de collecte d’informations et de chargement de charges utiles de prochaine étape, le malware utilisant Google Sheets pour le C2, l’exfiltration de données et l’exécution de commandes des opérateurs.
Proofpoint a décrit l’activité comme étant liée aux menaces persistantes avancées (APT) mais portant des « vibrations de cybercriminalité » en raison de l’utilisation de techniques populaires dans le paysage de la cybercriminalité.
« Les acteurs malveillants abusent des URI de schéma de fichiers pour accéder à des ressources de partage de fichiers externes pour la préparation de programmes malveillants, en particulier WebDAV et Server Message Block (SMB). Cela se fait en utilisant le schéma ‘file://’ et en pointant vers un serveur distant hébergeant le contenu malveillant », ont déclaré les chercheurs.
Cette approche est de plus en plus répandue parmi les familles de logiciels malveillants qui agissent en tant que courtiers d’accès initiaux (IAB), tels que Latrodectus, DarkGate et XWorm.
En outre, Proofpoint a déclaré avoir pu lire le contenu de la feuille Google, identifiant un total de six victimes, dont une qui serait soit un sandbox, soit un « chercheur connu ».
La campagne a été qualifiée d’inhabituelle, ce qui laisse penser que les auteurs de la menace ont ratissé large avant de se concentrer sur un nombre restreint de cibles. Il est également possible que les attaquants, probablement dotés de niveaux d’expertise technique différents, aient prévu d’infecter plusieurs organisations.
« Bien que de nombreuses caractéristiques de la campagne correspondent à une activité de menace cybercriminelle, nous estimons qu’il s’agit probablement d’une activité d’espionnage menée pour soutenir des objectifs finaux encore inconnus », ont déclaré les chercheurs.
« L’amalgame frankensteinien de capacités intelligentes et sophistiquées, associé à des techniques et fonctionnalités très basiques, rend difficile l’évaluation du niveau de capacité de l’acteur de la menace et la détermination avec une grande confiance des objectifs ultimes de la campagne. »
Ce développement intervient alors que Netskope Threat Labs a découvert une version mise à jour de Latrodectus (version 1.4) qui est livrée avec un nouveau point de terminaison C2 et ajoute deux nouvelles commandes de porte dérobée qui lui permettent de télécharger du shellcode à partir d’un serveur spécifié et de récupérer des fichiers arbitraires à partir d’un emplacement distant.
« Latrodectus a évolué assez rapidement, ajoutant de nouvelles fonctionnalités à sa charge utile », explique le chercheur en sécurité Leandro Fróes. dit« La compréhension des mises à jour appliquées à sa charge utile permet aux défenseurs de maintenir les pipelines automatisés correctement configurés et d’utiliser les informations pour rechercher davantage de nouvelles variantes. »