Le nouveau virus malveillant qui circule depuis quelques semaines dans le monde porte le nom d’un méchant de la littérature et du cinéma. Il s’appelle Voldemort, comme le sorcier noir de la saga Harry Potter, il se déguise en email du fisc et a touché plus de 70 organisations dans le monde, y compris en Italie. Les cybercriminels l’utilisent pour voler les données sensibles de leurs victimes, parmi lesquelles de nombreuses compagnies d’assurance sont ciblées. C’est ce qu’a révélé l’équipe de recherche sur les menaces de Proofpoint, une société de cybersécurité qui a identifié la nouvelle campagne malveillante à partir du 5 août.
L’e-mail comme appât
Selon les chercheurs, au cours de ces semaines, les cybercriminels ont envoyé à leurs victimes environ 20 000 messages électroniques se faisant passer pour les autorités fiscales en Europe, en Asie et aux États-Unis. En Italie, ils se sont fait passer pour l’Agence des Revenus. Sous couvert de signification de documents officiels, des pirates ont infiltré les systèmes des victimes. Ils ont touché plus de 70 organisations, et au plus fort de leur activité, jusqu’à 6 000 en une seule journée. Le véhicule du malware est désormais le plus connu phishing. En fait, les e-mails ne sont rien de plus qu’un appât qui se fait passer pour les autorités fiscales d’un pays et communique aux victimes qu’il existe des informations fiscales mises à jour en incluant des liens vers des documents associés. Si la victime interagit, elle est redirigée vers un site malveillant et télécharge le malware.
Un plus grand intérêt pour l’espionnage
Voldemort, comme l’ont découvert les chercheurs, dispose de capacités considérables de collecte de données, notamment par l’exfiltration ou la suppression de fichiers. A tel point qu’en observant le phénomène, ils sont arrivés à la conclusion que les cybercriminels ont « plus d’intérêt à l’espionnage qu’à la rentabilité financière ». Une circonstance qui nous fait penser que derrière cette campagne malveillante se cache peut-être un acteur plus menaçant qu’il n’y paraît. Selon l’analyse, plus de la moitié des organisations ciblées appartiennent aux secteurs de l’assurance, de l’aérospatiale, des transports et de l’éducation.
Objectifs finaux inconnus
Malgré de nombreux détails techniques, les chercheurs n’ont pas pu identifier précisément les acteurs à l’origine de cette menace. « Nous pensons – disent-ils – qu’il s’agit probablement d’une activité d’espionnage menée pour soutenir des objectifs finaux encore inconnus ». Pour se défendre contre cette campagne malveillante, Proofpoint recommande de limiter l’accès aux services de partage de fichiers externes aux serveurs de confiance.
