Du code malveillant utilise un format audio pour éviter les antivirus

Benoît Théry
21 octobre 2019 à 11h19
24
son audio malware
© Pixabay

Deux rapports publiés en juin et en octobre montrent l'utilisation par des pirates du format audio WAV pour la dissimulation de code malveillant, et éviter ainsi les antivirus.

Cette méthode, appelé stéganographie, a déjà été utilisée par le passé pour la dissimulation de virus dans des images.

Deux campagnes de piratages en quatre mois

Le premier rapport a été émis au mois de juin par les services de Symantec. La société spécialisée dans la cybersécurité a affirmé avoir découvert un groupe d'espionnage informatique russe, qu'elle a baptisée Turla (ou Waterbug). Un peu plus tôt ce mois d'octobre, ce sont les services de sécurité de BlackBerry Cylance qui ont découvert des fichiers WAV infectés par un virus.

Cette méthode de la stéganographie consiste ici à dissimuler des DLL (des morceaux de code nécessaires aux logiciels pour fonctionner) dans des fichiers WAV. L'objectif, à terme, est une opération de minage de cryptomonnaie malveillante : il s'agit d'utiliser la puissance de calcul de l'ordinateur ciblé pour miner une cryptomonnaie.

Lire aussi :
Comment fonctionnent le Bitcoin et la blockchain

Josh Lemos, vice-président de recherche chez BlackBerry Cylance, explique : « Tous les fichiers WAV découverts respectent le format d'un fichier WAV légitime (ils peuvent tous être lus par un lecteur audio standard). Un fichier WAV contenait de la musique sans indication de distorsion ni de corruption, tandis que les autres contenaient du bruit blanc. L'un des fichiers WAV contenait Meterpreter pour établir un reverse-shell afin de disposer d'un accès distant à la machine infectée ». C'est une méthode utilisée pour éviter la détection d'éléments malveillants par les anti-virus, déjà connue auparavant pour affecter des fichiers image (notamment JPG et PNG).

« Des acteurs sophistiqués »

Les deux découvertes (faites par Symantec et par BlackBerry Cylance) sont similaires en termes de procédé utilisé, mais aucun des deux organismes n'affirme qu'elles sont liées. Néanmoins, Josh Lemos a déclaré que « l'utilisation de techniques de stéganographie nécessite une compréhension approfondie du format du fichier cible. Il est généralement utilisé par des acteurs sophistiqués qui souhaitent rester non détectés pendant une longue période ». Help Net Security estime pour sa part plus probable « qu'il s'agisse d'acteurs recherchant tout simplement de l'argent ».

À priori, il n'y a pas véritablement de méthode pour se protéger de tels fichiers, la méthode de la stéganographie semblant se répandre et se perfectionner. Le blocage pur et simple de formats populaires (WAV, JPG, mais aussi GIF, Webp...) revient à se couper d'une grande partie du Web. Le meilleur moyen reste donc la bonne surveillance du point d'entrée.

Josh Lemos admet ne pas savoir avec certitude comment les fichiers WAV sont arrivés sur les ordinateurs ciblés, tout en affirmant qu'ils n'avaient pas été téléchargés. « Ils ont été chargés à partir du disque, parfois en tant qu'argument CMD. Les acteurs de la menace ont probablement utilisé des techniques de spear-phishing (un hameçonnage ultra-personnalisé) pour obtenir un accès initial. Ensuite, ils ont probablement installé le shell inversé pour télécharger les autres exécutables et les fichiers WAV », suppose-t-il.

Source : Help Net Security
Benoît Théry

Benoît Théry

Je veux tout savoir, et même le reste. Je me passionne pour le digital painting, la 3D, la plongée, l'artisanat, les fêtes médiévales... Du coup, j'ai toujours des apprentissages sur le feu. Actuellem...

Lire d'autres articles

Je veux tout savoir, et même le reste. Je me passionne pour le digital painting, la 3D, la plongée, l'artisanat, les fêtes médiévales... Du coup, j'ai toujours des apprentissages sur le feu. Actuellement, j'apprends à sourire sur mes photos de profil.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (24)

Bicu
Comme on s’en doute, le fichier wave en lui-même est inoffensif, il faut un exécutable (loader) pour le charger et extraire le code malicieux.<br /> Il faut aller à la source de la source pour le savoir https://threatvector.cylance.com/en_us/home/malicious-payloads-hiding-beneath-the-wav.html
GRITI
La stéganographie permettait de dissimuler des messages dans des photos il me semble au départ.<br /> S’ils arrivent à faire cela avec le format mp3… Ou mp4…
Sinic
Ma source elle-même le précise : “The WAV files came coupled with a loader component, which employ either steganography or an algorithm to decode and execute the malicious code woven throughout the file’s audio data”.
GRITI
C’est vicieux je trouve comme système.<br /> Edit: on risque d’avoir une vagu d’attaques…
Bicu
Vous avez raison, désolé.<br /> C’est de ma faute, d’habitude je vais directement au bas de la source pour vérifier s’il en existe une autre, ce qui est le cas, donc j’ai cru que vous aviez rapporté votre source dans son ensemble alors que vous avez escamoté ce détail pourtant très important.
Sinic
Le piratage est vicieux par essence. Dans le cas présent, j’ai l’impression que les pirates visent davantage des entreprises que des particuliers.
Sinic
Le dernier paragraphe précise le mode de fonctionnement supposé des pirates, qui se fait en deux temps : « Ils ont été chargés à partir du disque, parfois en tant qu’argument CMD. Les acteurs de la menace ont probablement utilisé des techniques de spear-phishing (un hameçonnage ultra-personnalisé) pour obtenir un accès initial. Ensuite, ils ont probablement installé le shell inversé pour télécharger les autres exécutables et les fichiers WAV », suppose-t-il.<br /> Même si cette précision n’avait pas été faite, une personne souhaitant davantage d’informations dispose dans tous les cas de la source. C’est même pour cette raison qu’elle est mentionnée.
galactus
j’ai pas compris : les pirates envoient à la victime le wav + un programme soi disant pour lire le wav mais qui charge en mémoire des éléments cachés dans le wav ?
GRITI
Sinic:<br /> Le piratage est vicieux par essence.<br /> Je suis d’accord. Mais carrément de la stéganographie dans un fichier audio…<br /> On sait s’il y a besoin d’un gros fichiers audio?<br /> J’imagine ce genre de techniques étendues aux mp3 ou à des vidéos soit sur Youtube, les tubes porno ou en P2P… Cela ferait de gros dégâts. Pour les tubes, je me demande s’ils ne recompressent pas les vidéos ce qui éviteraient cela.<br /> Pourquoi se priveraient-ils d’attaquer les particuliers à terme?
Sinic
C’est ça. Les deux charges utiles sont chargées séparément, le premier servant à extraire et lancer le malware qui se trouve dans le fichier WAV
Sinic
Je n’ai pas vu d’infos concernant la taille des fichiers. En revanche, sachant que ça a déjà été utilisée pour des fichiers image, j’imagine que ce doit être possible d’utiliser d’autres formats très différents.<br /> Comme dit dans l’article, les gars qui font ça ont quand même une certaine connaissance de ce qu’ils font. A mon sens, mobiliser une expertise (et un temps ?) considérable, c’est quelque chose que l’on destine à de grandes entreprises.
Bicu
Donc vous traduisez un article en français pour les non anglophones en le rendant incompréhensible tout en pensant qu’ils iraient à la source pour le comprendre subodorant que vous l’avez fait sciemment.<br /> Effectivement c’est clair.
GRITI
Personnellement, je n’ai pas trouvé l’article incompréhensible.
Bicu
J’ai hésité à te répondre mais vu que l’auteur se félicite de ton intervention je pourrais en déduire qu’il à écrit son article pour toi et non pas pour le profane ( et visiblement il y a au moins cinq personnes qui trouve mon intervention nécessaire).<br /> Je pourrais également en conclure que l’auteur à sciemment escamoté le détail pour rendre son article alarmiste : un simple fichier audio pourrait endommager votre ordinateur.<br /> Il fait du journalisme sensationnel au lieu d’informatif.
GRITI
Tu as écrit:<br /> Bicu:<br /> en le rendant incompréhensible<br /> Je trouve que le terme incompréhensible n’est pas adapté et qu’il est trop fort. D’où mon commentaire sur mon avis perso.<br /> Je pense avoir saisi l’idée derrière ton commentaire. Si tu avais dit que l’article manquait de précision, je n’aurai pas réagi.<br /> Il m’est arrivé de lire un ou deux articles incompréhensibles: dans chaque cas, arrivé à la fin de l’article, je n’avais vraiment rien compris du tout.<br /> Là, pour moi, nous ne sommes pas du tout dans un cas similaire.
Sinic
Le titre est clair et factuel : des malwares utilisent un format audio pour contourner les antivirus. C’est un fait.<br /> Comme je l’ai déjà signalé, le détail que j’aurais soi-disant escamoté est bien présent dans l’article, tout en soulignant que les professionnels ne sont pas sûrs du mode opératoire. Désormais, vous pouvez penser que je fais dans le sensationnel si vous voulez.
Bicu
Vous faites preuve d’une mauvaise foi éhonté (ce qui n’est guère étonnant de la part d’un journaliste).<br /> D’ailleurs je pense que vous n’aviez rien compris au fonctionnement de ce virus c’est pourquoi vous n’avez même pas pris soin d’aller consulter la source de votre source et cette dernière, tout comme vous ,escamote bien des informations.<br /> Dans la source de votre source ,en introduction ils annoncent très clairement<br /> Each WAV file was coupled with a loader component for decoding and executing malicious content secretly woven throughout the file’s audio data<br /> =&gt; chaque fichier WAVE est couplé à un exécutable pour décoder et exécuter le contenu malveillant secrètement mélangé dans les données du fichier audio .<br /> Ensuite ils analysent en détail et en profondeur le fonctionnement des exécutables ,par exemple dans le paragraphe “Steganography PE Loader” (mais là il faut un certain niveau pour comprendre).<br /> Question clarté et compréhension nous sommes très loin de votre<br /> Ils ont été chargés à partir du disque, parfois en tant qu’argument CMD. Les acteurs de la menace ont probablement utilisé des techniques de spear-phishing (un hameçonnage ultra-personnalisé) pour obtenir un accès initial. Ensuite, ils ont probablement installé le shell inversé pour télécharger les autres exécutables et les fichiers WAV », suppose-t-il<br /> Ce que je pense n’est pas important car je ne suis pas votre cible,mais tous ceux qui vous lisent et seraient intéressé de comprendre le fonctionnement doivent être assez déçu de ce que vous pensez d’eux après avoir lu cette conversation.
GRITI
Bicu:<br /> Ensuite ils analysent en détail et en profondeur le fonctionnement des exécutables ,par exemple dans le paragraphe “ Steganography PE Loader ” (mais là il faut un certain niveau pour comprendre).<br /> Explique-nous alors s’il te plaît. Si tu peux faire profiter tout le monde de tes connaissances vas-y. Perso, je suis preneur .
galactus
merci pour cette clarification.<br /> Mais n’est-il pas plus rassurant d’ajouter : “il faut toutefois que la victime télécharge le wav, ainsi que le programme, puis lance ce programme” ?<br /> Car quand j’ai lu le titre, j’ai crû comprendre que, ouvrir un wav infecté avec mon programme favori de lecture mp3, je pouvais contaminer mon pc.
zigomatx
Il n’y a vraiment rien de nouveau ! Planquer du code à l’intérieur d’un fichier DATA, c’est ultra simple ! Et ce, quel que soit le format de fichier !<br /> De la vidéo, du son, de l’image… c’est du DATA !!!<br /> Ce qui est dangereux, c’est quand on trouve un exploit qui permet de déclencher ce code sans utiliser un “loader”.<br /> Dans le cas de cette news, mettre le code malveillant à l’intérieur du fichier WAV permet juste d’espérer que le loader ne soit pas analysé comme un logiciel malveillant par les techniques de détection pro-actives…<br /> Une fois la signature du loader connue par les logiciels de détection, il n’y a plus aucun intérêt à travailler de la sorte.
wax78
@griti : L’objet de la stéganographie est de faire passer inaperçu un message dans un autre message. Donc pas forcement un message dans une image.<br /> Ils ont aussi choisi le format WAV probablement car il n’est pas compressé et donc il est plus facile de faire transiter le message caché qui ne sera pas “modifié” par la compression. (Bien que cela ne soit pas impossible a faire même avec de la compression.
gwlegion
HO MON DIEU !!!<br /> un journaliste qui fais dans le sensationnel ?<br /> vous me voyez outré !<br /> moi qui croyais que ces gens la travaillaient a la diffusion d’une vertié simple et factuelle …<br /> non, blague a part faut arreter … evidement qu’ils vont au sensationnel … leur travail, c’est d’attirer les foules pour vendre de l’espace publicitaire …<br /> Ce qui compte, c’est pas ca … c’est de savoir si l’article est interessant ou pas, si il s’arette a ce putaclick ou si il develloppe réelement son propos …
lightness
Donc concrètement si je résume les uns et les autres : il ne faut pas lire un fichier audio, vidéo, ou images par l’intermédiaire logiciel proposé dans les bibliothèques de téléchargement fourni par les annonces google.<br /> Finalement il suffit d’utiliser un “bloqueur de pubs - anti malware” pour rechercher son contenu et d’utiliser de préférence un lecteur intégré à son ordinateur ou libre et sans annonce. ?
GRITI
wax78:<br /> L’objet de la stéganographie est de faire passer inaperçu un message dans un autre message. Donc pas forcement un message dans une image.<br /> Merci de la précision. Ayant surtout entendu parlé des images il y a fort longtemps, j’étais resté là-dessus.
nikon561
c’etait 'l’exemple le plus courant mais c’est rapidement devenu possible de le faire avec d’autres formats. j’avais regardé par curiosité lorsque j’etait etudiant et c’etait possible avec des fichier de differentes natures (image, audio, video, archives…) je ne sais pus combien mais il y avait un tas de possibilités.
GRITI
A une époque ce sujet m’avait intéressé. Il n’est pas tout jeune en plus, même si les techniques ont évolué:<br /> Dans ses Histoires, l’historien grec Hérodote (484-445 av. J.-C.) rapporte ainsi une anecdote qui eut lieu au moment de la seconde guerre médique. En 484 av. J.-C.,Xerxès Ier, roi des Perses, décide de préparer une armée gigantesque pour envahir la Grèce (Livre VII, 5-19). Quatre ans plus tard, lorsqu’il lance l’offensive, les Grecs sont depuis longtemps au courant de ses intentions. C’est que Démarate, ancien roi de Sparte réfugié auprès de Xerxès, a appris l’existence de ce projet et décide de transmettre l’information à Sparte(Livre VII, 239) :<br /> « il prit une tablette double, en gratta la cire, puis écrivit sur le bois même les projets de Xerxès ; ensuite il recouvrit de cire son message : ainsi le porteur d’une tablette vierge ne risquait pas d’ennuis. »<br /> Un autre passage de la même œuvre fait également référence à la stéganographie : au paragraphe 35 du livre V, Histiée incite son gendre Aristagoras, gouverneur de Milet, à se révolter contre son roi, Darius, et pour ce faire,<br /> « il fit raser la tête de son esclave le plus fidèle, lui tatoua son message sur le crâne et attendit que les cheveux eussent repoussé ; quand la chevelure fut redevenue normale, il fit partir l’esclave pour Milet. »<br /> fr.wikipedia.org<br /> Stéganographie<br /> La stéganographie est l'art de la dissimulation : son objet est de faire passer inaperçu un message dans un autre message. Elle se distingue de la cryptographie, « art du secret », qui cherche à rendre un message inintelligible à autre que qui-de-droit. Pour prendre une métaphore, la stéganographie consisterait à enterrer son argent dans son jardin là où la cryptographie consisterait à l'enfermer dans un coffre-fort — cela dit, rien n'empêche de combiner les deux techniques, de même que l'on peut...<br />
Voir tous les messages sur le forum

Top meilleurs antivirus

Bitdefender
Bitdefender Voir l'offre
Norton 360
Norton 360 Voir l'offre
Avast One
Avast One Voir l'offre
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Des hackers utilisent une faille obsolète de Microsoft Office pour déployer le malware Colbalt Strike Des hackers utilisent une faille obsolète de Microsoft Office pour déployer le malware Colbalt Strike
Des pare-feu Cisco touchés par une faille Zero Day ciblent des sites gouvernementaux à travers le monde Des pare-feu Cisco touchés par une faille Zero Day ciblent des sites gouvernementaux à travers le monde
Ce hacker crée un malware pour piéger les personnes qui recherchent du contenu pédopornographique Ce hacker crée un malware pour piéger les personnes qui recherchent du contenu pédopornographique
Des hackers profitent d'une faille technique de GitHub pour diffuser leur malware Des hackers profitent d'une faille technique de GitHub pour diffuser leur malware
Le ransomware HelloKitty renaît de ses cendres et balance des données de jeux vidéo et des clés de déchiffrement privées Le ransomware HelloKitty renaît de ses cendres et balance des données de jeux vidéo et des clés de déchiffrement privées
Les Les "Junk Guns", ces ransomwares discount qui percent sur le dark web, pourraient bien devenir la norme