Du code malveillant utilise un format audio pour éviter les antivirus

24
son audio malware
© Pixabay

Deux rapports publiés en juin et en octobre montrent l'utilisation par des pirates du format audio WAV pour la dissimulation de code malveillant, et éviter ainsi les antivirus.

Cette méthode, appelé stéganographie, a déjà été utilisée par le passé pour la dissimulation de virus dans des images.

Deux campagnes de piratages en quatre mois

Le premier rapport a été émis au mois de juin par les services de Symantec. La société spécialisée dans la cybersécurité a affirmé avoir découvert un groupe d'espionnage informatique russe, qu'elle a baptisée Turla (ou Waterbug). Un peu plus tôt ce mois d'octobre, ce sont les services de sécurité de BlackBerry Cylance qui ont découvert des fichiers WAV infectés par un virus.

Cette méthode de la stéganographie consiste ici à dissimuler des DLL (des morceaux de code nécessaires aux logiciels pour fonctionner) dans des fichiers WAV. L'objectif, à terme, est une opération de minage de cryptomonnaie malveillante : il s'agit d'utiliser la puissance de calcul de l'ordinateur ciblé pour miner une cryptomonnaie.


Josh Lemos, vice-président de recherche chez BlackBerry Cylance, explique : « Tous les fichiers WAV découverts respectent le format d'un fichier WAV légitime (ils peuvent tous être lus par un lecteur audio standard). Un fichier WAV contenait de la musique sans indication de distorsion ni de corruption, tandis que les autres contenaient du bruit blanc. L'un des fichiers WAV contenait Meterpreter pour établir un reverse-shell afin de disposer d'un accès distant à la machine infectée ». C'est une méthode utilisée pour éviter la détection d'éléments malveillants par les anti-virus, déjà connue auparavant pour affecter des fichiers image (notamment JPG et PNG).

« Des acteurs sophistiqués »

Les deux découvertes (faites par Symantec et par BlackBerry Cylance) sont similaires en termes de procédé utilisé, mais aucun des deux organismes n'affirme qu'elles sont liées. Néanmoins, Josh Lemos a déclaré que « l'utilisation de techniques de stéganographie nécessite une compréhension approfondie du format du fichier cible. Il est généralement utilisé par des acteurs sophistiqués qui souhaitent rester non détectés pendant une longue période ». Help Net Security estime pour sa part plus probable « qu'il s'agisse d'acteurs recherchant tout simplement de l'argent ».

À priori, il n'y a pas véritablement de méthode pour se protéger de tels fichiers, la méthode de la stéganographie semblant se répandre et se perfectionner. Le blocage pur et simple de formats populaires (WAV, JPG, mais aussi GIF, Webp...) revient à se couper d'une grande partie du Web. Le meilleur moyen reste donc la bonne surveillance du point d'entrée.

Josh Lemos admet ne pas savoir avec certitude comment les fichiers WAV sont arrivés sur les ordinateurs ciblés, tout en affirmant qu'ils n'avaient pas été téléchargés. « Ils ont été chargés à partir du disque, parfois en tant qu'argument CMD. Les acteurs de la menace ont probablement utilisé des techniques de spear-phishing (un hameçonnage ultra-personnalisé) pour obtenir un accès initial. Ensuite, ils ont probablement installé le shell inversé pour télécharger les autres exécutables et les fichiers WAV », suppose-t-il.

Source : Help Net Security
Modifié le 21/10/2019 à 11h19
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
24
8
Voir tous les messages sur le forum

Actualités du moment

Le veilleur d'écran[s] S01E03 📺 The Capture : fuyez, vous êtes filmés
L'avocat des Panama Papers tente d'arrêter le film Netflix qui caricature l'affaire
🔥 Envie de changer de forfait mobile ? Profitez des promos chez RED, Free, Sosh, B&You
Une modélisation informatique arrive à déterminer de potentiels futurs foyers d'Ebola
Notre sélection d'accessoires pour Nintendo Switch à petit prix
🔥 La confidentialité en ligne grâce à NordVPN pour 3,17€ par mois
Dépollution : les plantes peuvent-elles aussi servir de bio-raffinerie ?
Haut de page