Du code malveillant utilise un format audio pour éviter les antivirus

19 octobre 2019 à 15h00
0
son audio malware
© Pixabay

Deux rapports publiés en juin et en octobre montrent l'utilisation par des pirates du format audio WAV pour la dissimulation de code malveillant, et éviter ainsi les antivirus.

Cette méthode, appelé stéganographie, a déjà été utilisée par le passé pour la dissimulation de virus dans des images.

Deux campagnes de piratages en quatre mois

Le premier rapport a été émis au mois de juin par les services de Symantec. La société spécialisée dans la cybersécurité a affirmé avoir découvert un groupe d'espionnage informatique russe, qu'elle a baptisée Turla (ou Waterbug). Un peu plus tôt ce mois d'octobre, ce sont les services de sécurité de BlackBerry Cylance qui ont découvert des fichiers WAV infectés par un virus.

Cette méthode de la stéganographie consiste ici à dissimuler des DLL (des morceaux de code nécessaires aux logiciels pour fonctionner) dans des fichiers WAV. L'objectif, à terme, est une opération de minage de cryptomonnaie malveillante : il s'agit d'utiliser la puissance de calcul de l'ordinateur ciblé pour miner une cryptomonnaie.


Josh Lemos, vice-président de recherche chez BlackBerry Cylance, explique : « Tous les fichiers WAV découverts respectent le format d'un fichier WAV légitime (ils peuvent tous être lus par un lecteur audio standard). Un fichier WAV contenait de la musique sans indication de distorsion ni de corruption, tandis que les autres contenaient du bruit blanc. L'un des fichiers WAV contenait Meterpreter pour établir un reverse-shell afin de disposer d'un accès distant à la machine infectée ». C'est une méthode utilisée pour éviter la détection d'éléments malveillants par les anti-virus, déjà connue auparavant pour affecter des fichiers image (notamment JPG et PNG).

« Des acteurs sophistiqués »

Les deux découvertes (faites par Symantec et par BlackBerry Cylance) sont similaires en termes de procédé utilisé, mais aucun des deux organismes n'affirme qu'elles sont liées. Néanmoins, Josh Lemos a déclaré que « l'utilisation de techniques de stéganographie nécessite une compréhension approfondie du format du fichier cible. Il est généralement utilisé par des acteurs sophistiqués qui souhaitent rester non détectés pendant une longue période ». Help Net Security estime pour sa part plus probable « qu'il s'agisse d'acteurs recherchant tout simplement de l'argent ».

À priori, il n'y a pas véritablement de méthode pour se protéger de tels fichiers, la méthode de la stéganographie semblant se répandre et se perfectionner. Le blocage pur et simple de formats populaires (WAV, JPG, mais aussi GIF, Webp...) revient à se couper d'une grande partie du Web. Le meilleur moyen reste donc la bonne surveillance du point d'entrée.

Josh Lemos admet ne pas savoir avec certitude comment les fichiers WAV sont arrivés sur les ordinateurs ciblés, tout en affirmant qu'ils n'avaient pas été téléchargés. « Ils ont été chargés à partir du disque, parfois en tant qu'argument CMD. Les acteurs de la menace ont probablement utilisé des techniques de spear-phishing (un hameçonnage ultra-personnalisé) pour obtenir un accès initial. Ensuite, ils ont probablement installé le shell inversé pour télécharger les autres exécutables et les fichiers WAV », suppose-t-il.

Source : Help Net Security
Modifié le 21/10/2019 à 11h19
24
8
Partager l'article :
Voir tous les messages sur le forum

Les actualités récentes les plus commentées

Covid-19 : Twitter connaît une hausse de 900% des discours racistes contre la Chine
Coronavirus : le traçage numérique
L'empreinte carbone issue de la consommation des Français a chuté de deux-tiers avec le confinement
Coup dur chez HPE : des SSD destinés aux entreprises pourraient se briquer après 40 000 heures
Le stockage d’énergie sous forme d’hydrogène fait un bond en avant
Xiaomi lancera la très attendue Mi TV 4S 65
Des Macbook propulsés par des processeurs ARM prévus pour l'an prochain
Folding@home dépasse l'ExaFLOP pour lutter contre le Coronavirus
Office 365 devient Microsoft 365 et fait le plein de nouveautés
Renault prête 1 300 véhicules au personnel soignant, dont 300 ZOE électriques
scroll top