top of page

Les fichiers audio WAV sont maintenant utilisés pour masquer le code malveillant

Les fichiers audio WAV sont maintenant utilisés pour masquer le code malveillant

Deux rapports publiés au cours des derniers mois montrent que les créateurs de malware tentent d’utiliser des fichiers audio WAV pour masquer du code malveillant.

La technique est connue sous le nom de stéganographie : l’art de cacher des informations dans un autre support de données.

Dans le domaine des logiciels, la stéganographie est utilisée pour décrire le processus de dissimulation de fichiers ou de texte dans un autre fichier, sous un format différent. Par exemple, dissimuler du texte brut dans le format binaire d’une image.

L’utilisation de la stéganographie est populaire auprès des opérateurs de programmes malveillants depuis plus d’une décennie. Les auteurs de logiciels malveillants n’utilisent pas la stéganographie pour attaquer ou infecter des systèmes, mais plutôt comme méthode de transfert. La stéganographie permet aux fichiers dissimulant du code malveillant de contourner les logiciels de sécurité qui autorisent généralement les formats de fichiers non exécutables (tels que les fichiers multimédias).

Toutes les instances précédentes dans lesquelles les logiciels malveillants utilisaient la stéganographie reposaient sur l’utilisation de formats de fichier image, tels que PNG ou JPG.

La nouveauté dans les deux rapports récemment publiés est l’utilisation de fichiers audio WAV, qui n’avaient pas été utilisés dans les opérations de programmes malveillants jusqu’à cette année.

Les deux rapports

La première de ces deux nouvelles campagnes utilisant des fichiers WAV a été signalée en juin. Les chercheurs en sécurité de Symantec ont indiqué avoir découvert un groupe russe de cyberespionnage, Waterbug (ou Turla), utilisant des fichiers WAV pour masquer et transférer du code malveillant de leur serveur aux victimes déjà infectées.

La deuxième campagne de programmes malveillants a été repérée ce mois-ci par BlackBerry Cylance. Dans un rapport publié aujourd’hui et partagé avec ZDNet la semaine dernière, Cylance a déclaré avoir constaté une situation similaire à celle de Symantec quelques mois auparavant.

Cependant, alors que le rapport Symantec décrivait une opération de cyberespionnage menée par un groupe sophistiqué, Cylance a déclaré avoir constaté que la technique de stéganographie WAV était utilisée dans le cadre d’une opération de minage de cryptomonnaie malveillante.

Cylance a déclaré que cet acteur tentait de dissimuler des DLL dans des fichiers audio WAV. Les logiciels malveillants, déjà présents sur la machine infectée, téléchargent et lisent le fichier WAV, extraient la DLL bit par bit, puis l’exécutent en installant une application de cryptomonnaie nommée XMRrig.

Josh Lemos, vice-président de la recherche chez BlackBerry Cylance, a déclaré à ZDNet dans un courrier électronique hier que cette souche de malware utilisant la stéganographie WAV avait été détectée à la fois sur le bureau Windows et les instances de serveur.

La banalisation de la stéganographie

De plus, Lemos nous a également expliqué que c’était apparemment être la première fois qu’une souche de malware de minage de cryptomonnaie avait recours à la stéganographie, que ce soit via un fichier PNG, JPEG ou WAV.

Cela montre que les auteurs de malware de cryptominage gagnent en sophistication et apprennent des autres campagnes de diffusion de malware.

“L’utilisation de techniques de stéganographie nécessite une compréhension approfondie du format du fichier cible”, a déclaré Lemos à ZDNet. “Il est généralement utilisé par des acteurs sophistiqués qui souhaitent rester non détectés pendant une longue période.

“Développer une technique de ce type prend du temps, et plusieurs blogs ont détaillé la manière dont des acteurs malveillants tels que OceanLotus ou Turla ont implémenté la dissimulation de la charge utile”, a ajouté M. Lemos.

“Ces publications permettent à d’autres acteurs de maîtriser la technique et de l’utiliser comme bon leur semble.”

En d’autres termes, le fait de documenter et d’étudier la stéganographie a un effet boule de neige qui standardise également la technique pour les opérations de logiciels malveillants moins qualifiés.

Bien que les travaux de Symantec et Cylance sur la documentation de la stéganographie au format WAV puissent aider d’autres acteurs malveillants, les fichiers WAV, PNG et JPG ne sont pas les seuls formats de fichiers pouvant faire l’objet d’une utilisation abusive.

“La stéganographie peut être utilisée avec n’importe quel format de fichier, à condition que l’attaquant adhère à la structure et aux contraintes du format, de sorte que toute modification apportée au fichier ciblé ne casse pas son intégrité”, a déclaré Lemos.

En d’autres termes, se défendre contre la stéganographie en bloquant les formats de fichiers vulnérables n’est pas la bonne solution. Les entreprises finissent par bloquer le téléchargement de nombreux formats populaires, tels que JPEG, PNG, BMP, WAV, GIF, WebP, TIFF, etc, ce qui sème le chaos dans les réseaux internes et rend impossible la navigation sur le web moderne.

Une façon appropriée de traiter la stéganographie est de… ne pas la traiter du tout. Puisque cette technique n’est utilisée que comme méthode de transfert de données, les entreprises doivent se concentrer sur la détection du point d’entrée / infection du malware qui abuse de la stéganographie, ou de l’exécution du code malveillant généré grâce à cette technique.

0 vue0 commentaire

Comments


bottom of page