Du code malveillant utilise un format audio pour éviter les antivirus

Benoît Théry
Publié le 21 octobre 2019 à 11h19
son audio malware
© Pixabay

Deux rapports publiés en juin et en octobre montrent l'utilisation par des pirates du format audio WAV pour la dissimulation de code malveillant, et éviter ainsi les antivirus.

Cette méthode, appelé stéganographie, a déjà été utilisée par le passé pour la dissimulation de virus dans des images.

Deux campagnes de piratages en quatre mois

Le premier rapport a été émis au mois de juin par les services de Symantec. La société spécialisée dans la cybersécurité a affirmé avoir découvert un groupe d'espionnage informatique russe, qu'elle a baptisée Turla (ou Waterbug). Un peu plus tôt ce mois d'octobre, ce sont les services de sécurité de BlackBerry Cylance qui ont découvert des fichiers WAV infectés par un virus.

Cette méthode de la stéganographie consiste ici à dissimuler des DLL (des morceaux de code nécessaires aux logiciels pour fonctionner) dans des fichiers WAV. L'objectif, à terme, est une opération de minage de cryptomonnaie malveillante : il s'agit d'utiliser la puissance de calcul de l'ordinateur ciblé pour miner une cryptomonnaie.

Lire aussi :
Comment fonctionnent le Bitcoin et la blockchain

Josh Lemos, vice-président de recherche chez BlackBerry Cylance, explique : « Tous les fichiers WAV découverts respectent le format d'un fichier WAV légitime (ils peuvent tous être lus par un lecteur audio standard). Un fichier WAV contenait de la musique sans indication de distorsion ni de corruption, tandis que les autres contenaient du bruit blanc. L'un des fichiers WAV contenait Meterpreter pour établir un reverse-shell afin de disposer d'un accès distant à la machine infectée ». C'est une méthode utilisée pour éviter la détection d'éléments malveillants par les anti-virus, déjà connue auparavant pour affecter des fichiers image (notamment JPG et PNG).

« Des acteurs sophistiqués »

Les deux découvertes (faites par Symantec et par BlackBerry Cylance) sont similaires en termes de procédé utilisé, mais aucun des deux organismes n'affirme qu'elles sont liées. Néanmoins, Josh Lemos a déclaré que « l'utilisation de techniques de stéganographie nécessite une compréhension approfondie du format du fichier cible. Il est généralement utilisé par des acteurs sophistiqués qui souhaitent rester non détectés pendant une longue période ». Help Net Security estime pour sa part plus probable « qu'il s'agisse d'acteurs recherchant tout simplement de l'argent ».

À priori, il n'y a pas véritablement de méthode pour se protéger de tels fichiers, la méthode de la stéganographie semblant se répandre et se perfectionner. Le blocage pur et simple de formats populaires (WAV, JPG, mais aussi GIF, Webp...) revient à se couper d'une grande partie du Web. Le meilleur moyen reste donc la bonne surveillance du point d'entrée.

Josh Lemos admet ne pas savoir avec certitude comment les fichiers WAV sont arrivés sur les ordinateurs ciblés, tout en affirmant qu'ils n'avaient pas été téléchargés. « Ils ont été chargés à partir du disque, parfois en tant qu'argument CMD. Les acteurs de la menace ont probablement utilisé des techniques de spear-phishing (un hameçonnage ultra-personnalisé) pour obtenir un accès initial. Ensuite, ils ont probablement installé le shell inversé pour télécharger les autres exécutables et les fichiers WAV », suppose-t-il.

Source : Help Net Security
Benoît Théry
Par Benoît Théry
LinkedIn

Je veux tout savoir, et même le reste. Je me passionne pour le digital painting, la 3D, la plongée, l'artisanat, les fêtes médiévales... Du coup, j'ai toujours des apprentissages sur le feu. Actuellement, j'apprends à sourire sur mes photos de profil.

Articles de Benoît Théry
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (10)
Bicu

Comme on s’en doute, le fichier wave en lui-même est inoffensif, il faut un exécutable (loader) pour le charger et extraire le code malicieux.
Il faut aller à la source de la source pour le savoir https://threatvector.cylance.com/en_us/home/malicious-payloads-hiding-beneath-the-wav.html

GRITI

La stéganographie permettait de dissimuler des messages dans des photos il me semble au départ.

S’ils arrivent à faire cela avec le format mp3… Ou mp4…

Sinic

Ma source elle-même le précise : “The WAV files came coupled with a loader component, which employ either steganography or an algorithm to decode and execute the malicious code woven throughout the file’s audio data”.

GRITI

C’est vicieux je trouve comme système.

Edit: on risque d’avoir une vagu d’attaques…

Bicu

Vous avez raison, désolé.
C’est de ma faute, d’habitude je vais directement au bas de la source pour vérifier s’il en existe une autre, ce qui est le cas, donc j’ai cru que vous aviez rapporté votre source dans son ensemble alors que vous avez escamoté ce détail pourtant très important.

Sinic

Le piratage est vicieux par essence. Dans le cas présent, j’ai l’impression que les pirates visent davantage des entreprises que des particuliers.

Sinic

Le dernier paragraphe précise le mode de fonctionnement supposé des pirates, qui se fait en deux temps : « Ils ont été chargés à partir du disque, parfois en tant qu’argument CMD. Les acteurs de la menace ont probablement utilisé des techniques de spear-phishing (un hameçonnage ultra-personnalisé) pour obtenir un accès initial. Ensuite, ils ont probablement installé le shell inversé pour télécharger les autres exécutables et les fichiers WAV », suppose-t-il.

Même si cette précision n’avait pas été faite, une personne souhaitant davantage d’informations dispose dans tous les cas de la source. C’est même pour cette raison qu’elle est mentionnée.

galactus

j’ai pas compris : les pirates envoient à la victime le wav + un programme soi disant pour lire le wav mais qui charge en mémoire des éléments cachés dans le wav ?

GRITI

Je suis d’accord. Mais carrément de la stéganographie dans un fichier audio…
On sait s’il y a besoin d’un gros fichiers audio?
J’imagine ce genre de techniques étendues aux mp3 ou à des vidéos soit sur Youtube, les tubes porno ou en P2P… Cela ferait de gros dégâts. Pour les tubes, je me demande s’ils ne recompressent pas les vidéos ce qui éviteraient cela.
Pourquoi se priveraient-ils d’attaquer les particuliers à terme?

Sinic

C’est ça. Les deux charges utiles sont chargées séparément, le premier servant à extraire et lancer le malware qui se trouve dans le fichier WAV

Dernières actualités
Antivirus, gestionnaire de mots de passe et VPN sont compris dans cette suite de cybersécurité Norton
Microsoft Defender est bon, mais pas infaillible : pourquoi installer un antivirus reste une bonne idée
On ne compte plus les scams qui pullulent sur Facebook, le dernier cible Bitwarden
Black Friday : profitez de Scam Copilot, dopé à l'IA de Bitdefender
Une vieille escroquerie revient sur Facebook pour voler vos mots de passe, ne tombez pas dans le panneau
5 techniques de malware qui redéfinissent la cybercriminalité en 2024
Droits d'auteurs bafoués et logiciels crackés, ne vous laissez pas berner par ces nouveaux malwares
Vous installez des applications en dehors du PlayStore ? Attention à ce malware qui s'en prend à votre compte en banque
Facebook
X
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles