Malware : comment un simple fichier audio .wav peut infecter votre PC

Symantec et BlackBerry Cylance alertent d'une nouvelle menace de malware qui se cachent dans des fichiers audio .wav d'apparence inoffensive. La technique serait aussi bien utilisée par des groupes de hackers en lien avec des Etats que par des cybercriminels pour miner des crypttomonnaies à l'insu des utilisateurs.

Un nouveau vecteur d'attaque stéganographique vient d'être découvert dans des fichiers audio .wav. La stéganographie est l'art de la dissimulation : la technique vise à dissimuler du code dans un autre contenant d'apparence inoffensive. L'alerte vient de Symantec et de BlackBerry Cylance. Au mois de juin, les chercheurs en sécurité de Symantec avaient découvert qu'un groupe de hackers russes régulièrement accusé de cyber-espionnage planquaient ou transféraient du code malveillant en utilisant des fichiers audio .wav. Mais une nouvelle campagne, différente, a été repérée ce mois-ci par BlackBerry Cylance.

Symantec et BlackBerry Cylance alertent d'une nouvelle tendance : les pirates cachent les malware dans des fichiers inoffensifs

Dans leur rapport, ils expliquent avoir vu cette intrication stéganographique utilisée pour infecter le plus de machines possibles avec un mineur de cryptomonnaies. Pour cela, les pirates y cachaient des fichiers DLL (pour Windows, donc)  : avec une combinaison de techniques cette librairie se retrouvait extraite à l'insu des utilisateurs, puis conduisait à l'installation discrète de XMRrig, un mineur très connu. Ce type d'attaque était dirigé selon les chercheurs, aussi bien vers des PC Windows que des serveurs.

Ce qui surprend BlackBerry Cylance, c'est qu'il s'agit de la première fois que des mineurs de cryptomonnaies sont ainsi malicieusement installés via cette technique, qui plus est dans un fichier wav. Le fichier final peut être lu parfaitement, sans que l'utilisateur ne se rende compte de rien. Normalement, la sténographie est une technique considérée comme très sophistiquée : elle implique de comprendre le fonctionnement intrinsèque de l'extension de fichier visée. Elle permet donc surtout à des acteurs dotés de ressources de mener des attaques les plus discrètes possibles.

Lire également : Malware Android – désinstallez d'urgence ces 15 applications du Google Play Store

Mais le regain d'intérêt récent de ces techniques aurait, à en croire ZDNet, un effet boule de neige : la technique de sténographie se populariserait ainsi auprès de pirates plus mainstream. Ainsi Symantec et Cylance rappellent qu'outre les fichiers .wav, du code malicieux peut aussi se cacher dans d'autres extensions, comme les JPEG, PNG, BMP, WAV, GIF, WebP, TIFF, PDF et bien d'autres. Se protéger contre ce genre d'attaque peut parfois se révéler compliqué – mais la plupart des antivirus du marché détectent en général le code malicieux caché par sténographie.

Source : ZDNet