Voici comment les pirates utilisent la stéganographie dans les cyberattaques

Steganography

Vous avez tous entendu le conseil que vous ne devriez jamais ouvrir de pièces jointes à moins que vous ne sachiez d'où elles viennent, et nous ne serons pas surpris si certains d'entre vous trouvent cela un peu étrange. Après tout, vous savez que pour que votre ordinateur soit compromis, du code doit être exécuté et vous savez que le code est exécuté par des fichiers exécutables. À la lumière de cela, vous pourriez penser qu'un humble fichier JPG, par exemple, ne peut vous faire aucun mal. Tu aurais tort.

Qu'est-ce que la stéganographie?

Le terme stéganographie vient des mots grecs pour «cacher» et «écrire», et cela signifie littéralement cacher des informations dans des données non secrètes. En matière de cybersécurité, la stéganographie fait référence à l'acte d'incorporer du code malveillant dans des fichiers apparemment bénins.

Les pirates peuvent intégrer des logiciels malveillants dans à peu près n'importe quel type de fichier que vous souhaitez imaginer, y compris des images et des vidéos. Avec cela, ils sont non seulement plus susceptibles de tromper la victime, mais ils ont également une meilleure chance d'éviter les produits de sécurité qui pourraient être installés sur l'ordinateur.

Ce n'est pas une nouvelle technique. En fait, en 2017, les experts ont inventé le terme «stegware» comme un collectif pour les cyberattaques utilisant du code malveillant intégré dans des images et d'autres fichiers multimédias, mais il est sûr de dire que, aussi intelligente et efficace qu'elle soit, la stéganographie n'est pas quelque chose que les pirates informatiques utiliser particulièrement souvent. Cela est principalement dû au fait que masquer du code malveillant dans des fichiers d'apparence bénigne n'est pas facile et nécessite un niveau de sophistication que la plupart des cybercriminels ne possèdent tout simplement pas.

La stéganographie dans les attaques du monde réel

Cela dit, la stéganographie n'est pas seulement une théorie. Au fil des ans, il y a eu quelques attaques qui ont utilisé la technique, et la dernière a été repérée le mois dernier par des chercheurs de Kaspersky.

La campagne cible les entreprises industrielles au Royaume-Uni, en Allemagne, au Japon et en Italie et, en fin de compte, elle distribue un outil appelé Mimikatz, qui vole les informations de connexion Windows. Très probablement, l'objectif est d'utiliser les informations volées pour se déplacer latéralement dans le réseau compromis et causer plus de dommages. Avant de pouvoir le faire, cependant, les escrocs doivent passer en contrebande Mimikatz sur le système, et ils le font en utilisant la stéganographie.

L'attaque commence par un e-mail soigneusement conçu et un fichier Excel attaché. Les experts ont souligné que les messages sont personnalisés pour chaque cible, ce qui montre que les attaquants ne sont pas intéressés à frapper des personnes ou des organisations au hasard.

Le fichier Excel ouvert demande à la victime de cliquer sur le bouton "Activer le contenu", et si l'utilisateur se conforme, la feuille de calcul malveillante exécute les instructions de macro intégrées, qui, à leur tour, ouvrent une fenêtre PowerShell cachée et chargent un script.

Le logiciel malveillant télécharge ensuite un fichier PNG d'apparence innocente à partir d'un site Web de partage d'images comme Imgur ou ImgBox. Il n'y a rien sur l'image qui pourrait éveiller les soupçons, et parce qu'elle est téléchargée à partir d'une ressource complètement légitime, il est peu probable qu'elle déclenche des alertes de sécurité.

En réalité, cependant, le fichier image contient un deuxième script PowerShell codé et chiffré en Base64. Le malware extrait le script du fichier PNG, le déchiffre et le décode, puis l'exécute dans une deuxième fenêtre PowerShell. Son but est de télécharger et d'installer le voleur Mimikatz.

On ne sait pas encore qui est derrière l'attaque décrite par Kaspersky, mais il est évident que quels qu'ils soient, ils savent ce qu'ils font. Nous ne pouvons qu'espérer que peu de cybercriminels sont aussi intelligents et sophistiqués que ces pirates.

June 3, 2020

Laisser une Réponse