Posté le octobre 21, 2019 à 13:52

UNE NOUVELLE FAÇON POUR LES LOGICIELS MALVEILLANTS ET LES MINEURS DE CRYPTO-MONNAIE DE PIRATER VOTRE PC : LES FICHIERS WAV

Le seul mot qui puisse décrire la lutte entre les programmeurs malveillants et les experts en sécurité est la «guerre». Cette guerre, comme toute autre de son genre, entraîne également une course aux armements sans fin entre les deux parties.

Les chercheurs en sécurité ont découvert une nouvelle forme de logiciel malveillant. Cette campagne de programmes malveillants utilise des fichiers audio apparemment innocents pour envoyer des mineurs de crypto-monnaie et du code malveillant. Le logiciel malveillant utilise une technique appelée stéganographie pour se cacher. Le fichier vidéo lui-même est lu normalement, sans donner la moindre indication de sa charge utile.

Comme d’habitude, ces programmes malveillants sont envoyés par le biais de campagnes d’hameçonnage : envoyer des emails aux victimes dans l’espoir qu’elles le confondent avec une source crédible ou qu’elles ouvrent le dossier par habitude. Une fois ouverts, ces programmes installeront et exécuteront un outil d’extraction pour Monero, une crypto-monnaie. Dans d’autres cas, le code Metasploit s’exécute pour permettre un accès à distance pour l’attaquant.

Ceci a été découvert par un trois chercheurs: Anuj Soni, Jordan Barth et Brian Marks. Ces trois personnes travaillent pour BlackBerry Cylance. Ils ont expliqué que chaque fichier WAV avait un composant de chargement ajouté pour décoder et exécuter du code malveillant.

Ce code a été, à son tour, secrètement élaboré à partir de l’ensemble des données audio du fichier. Ils ont expliqué que, lorsqu’ils étaient joués, certains fichiers WAV produisaient de la musique parfaitement normale, sans aucun problème de qualité ou de dysfonctionnement.  Curieusement, ils ont expliqué que les autres vidéos n’étaient que du bruit statique ou du bruit blanc.

Le trio a déclaré que leur analyse a révélé que certains des fichiers WAV contenaient du code malveillant. Certains morceaux de code étaient associés au mineur XMRig Monero CPU, tandis que d’autres avaient des choses comme le code Metasploit, utilisé pour créer un shell inversé. Ils ont averti que les deux charges utiles se trouvaient dans le même environnement, suggérant une campagne avec un double objectif : gain financier et établissement d’un accès à distance dans le réseau de la victime.

Les faits

Ces fichiers WAV chargeurs peuvent être classés en trois catégories. Le premier concerne les chargeurs utilisant la (LSB) stéganographie bit de poid faible pour décoder et exécuter un fichier PE.  La seconde utilise des chargeurs qui utilisent un algorithme de décodage basé sur rand() qui décode et exécute un fichier PE. La dernière utilise la même chose que la précédente mais exécute un shellcode.

Chacune de ces trois approches donne à l’attaquant la possibilité d’exécuter du code malveillant à partir d’un format de fichier considéré par ailleurs comme étant non-nuisible. Cela prouve que le contenu exécutable peut, en théorie, être placé dans n’importe quel type de fichier.

Ceci, bien sûr, suppose que l’attaquant ne corrompe pas la structure et le traitement du format du conteneur. Cette nouvelle technique introduit encore une autre couche d’obscurcissement possible, car le code sous-jacent n’est traçable qu’en mémoire. Ceci, comme vous pouvez l’imaginer, rend difficile la détection de ce code malveillant.

Ce qu’il faut noter, c’est que le chargeur stéganographique découvert dans le logiciel malveillant a été identifié comme étant le même que l’analyse Symantec de l’activité de l’acteur de la menace Waterbug/Turla qui a eu lieu en juin de cette année.

Bien que cela prouve que ces deux menaces ont, pour le moins, une relation, il est difficile de prouver quoi que ce soit quand on sait que différents groupes d’acteurs de menaces peuvent tous utiliser les mêmes outils par commodité. Après tout, pourquoi faire l’effort de créer un outil pour pirater quelqu’un alors qu’il existe déjà un outil qui fonctionne? La plupart des gens sont paresseux et les hackers sont aussi des êtres humains.

Un rapport détaillé sur ce sujet est disponible sur le site Web de Threat Vector.

Cet exploit spécifique ne sera pas vite résolu et tous les fournisseurs de cybersécurité concernés anticiperont cette nouvelle menace. Aussi triste que cela puisse paraître, tous les efforts sont faits pour s’assurer que notre sécurité est maintenue, qu’elle ne fonctionne que jusqu’à ce que les criminels découvrent un nouvel exploit, et que les entreprises de sécurité s’adaptent à celui-ci aussi.  Cela continuera dans un cercle vicieux, sans jamais s’arrêter et sans jamais se fatiguer.