Du code malveillant utilise un format audio pour éviter les antivirus

19 octobre 2019 à 15h00
0
son audio malware
© Pixabay

Deux rapports publiés en juin et en octobre montrent l'utilisation par des pirates du format audio WAV pour la dissimulation de code malveillant, et éviter ainsi les antivirus.

Cette méthode, appelé stéganographie, a déjà été utilisée par le passé pour la dissimulation de virus dans des images.

Deux campagnes de piratages en quatre mois

Le premier rapport a été émis au mois de juin par les services de Symantec. La société spécialisée dans la cybersécurité a affirmé avoir découvert un groupe d'espionnage informatique russe, qu'elle a baptisée Turla (ou Waterbug). Un peu plus tôt ce mois d'octobre, ce sont les services de sécurité de BlackBerry Cylance qui ont découvert des fichiers WAV infectés par un virus.

Cette méthode de la stéganographie consiste ici à dissimuler des DLL (des morceaux de code nécessaires aux logiciels pour fonctionner) dans des fichiers WAV. L'objectif, à terme, est une opération de minage de cryptomonnaie malveillante : il s'agit d'utiliser la puissance de calcul de l'ordinateur ciblé pour miner une cryptomonnaie.


Josh Lemos, vice-président de recherche chez BlackBerry Cylance, explique : « Tous les fichiers WAV découverts respectent le format d'un fichier WAV légitime (ils peuvent tous être lus par un lecteur audio standard). Un fichier WAV contenait de la musique sans indication de distorsion ni de corruption, tandis que les autres contenaient du bruit blanc. L'un des fichiers WAV contenait Meterpreter pour établir un reverse-shell afin de disposer d'un accès distant à la machine infectée ». C'est une méthode utilisée pour éviter la détection d'éléments malveillants par les anti-virus, déjà connue auparavant pour affecter des fichiers image (notamment JPG et PNG).

« Des acteurs sophistiqués »

Les deux découvertes (faites par Symantec et par BlackBerry Cylance) sont similaires en termes de procédé utilisé, mais aucun des deux organismes n'affirme qu'elles sont liées. Néanmoins, Josh Lemos a déclaré que « l'utilisation de techniques de stéganographie nécessite une compréhension approfondie du format du fichier cible. Il est généralement utilisé par des acteurs sophistiqués qui souhaitent rester non détectés pendant une longue période ». Help Net Security estime pour sa part plus probable « qu'il s'agisse d'acteurs recherchant tout simplement de l'argent ».

À priori, il n'y a pas véritablement de méthode pour se protéger de tels fichiers, la méthode de la stéganographie semblant se répandre et se perfectionner. Le blocage pur et simple de formats populaires (WAV, JPG, mais aussi GIF, Webp...) revient à se couper d'une grande partie du Web. Le meilleur moyen reste donc la bonne surveillance du point d'entrée.

Josh Lemos admet ne pas savoir avec certitude comment les fichiers WAV sont arrivés sur les ordinateurs ciblés, tout en affirmant qu'ils n'avaient pas été téléchargés. « Ils ont été chargés à partir du disque, parfois en tant qu'argument CMD. Les acteurs de la menace ont probablement utilisé des techniques de spear-phishing (un hameçonnage ultra-personnalisé) pour obtenir un accès initial. Ensuite, ils ont probablement installé le shell inversé pour télécharger les autres exécutables et les fichiers WAV », suppose-t-il.

Source : Help Net Security
Modifié le 21/10/2019 à 11h19
24
8
Partager l'article :
Voir tous les messages sur le forum

Les actualités récentes les plus commentées

La centrale nucléaire de Fessenheim va cesser définitivement ses activités cette nuit
Convention citoyenne pour le climat : Macron promet 15 milliards d'euros et des réponses
Vraiment efficace le toit solaire de Tesla ? Une famille fait le bilan après trois mois d'utilisation
Amazon : des hackers auraient réussi à contourner la double authentification
Les émissions de CO2 dues à l'automobile ont encore augmenté en 2019, la faute aux SUV
Reddit bannit un forum pro-Trump, accusé de promouvoir la haine, Twitch suspend sa chaîne
L’iPhone 12, livré sans chargeur ni écouteurs ?
LDLC : l'e-commerçant high tech Lyonnais annonce officiellement la semaine de 32 heures dès 2021
Selon Epic Games, la PS5 est
Pour Steve Sinofsky, ex boss de Windows, le Mac sous ARM sera
scroll top