La stéganographie, ou l’art de dissimuler des informations, est de plus en plus vogue. Il y a quelques jours des chercheurs en sécurité de Cylance ont expliqué avoir découvert des mineurs de moneros camouflés dans des fichiers de son baptisés « song.wav ». Plusieurs techniques ont été utilisées.
L’une s’appuie sur le codage dit « du bit de poids faible » (« Least significant bit »). Dans ce cas, le code malveillant est éparpillé sur les derniers bits de chaque octet du contenu audio en question. L’avantage, c’est que cela ne dénature que faiblement le contenu et permet de passer totalement inaperçu. Une fois que le fichier est téléchargé sur une machine préalablement infectée, ces bits sont extraits du fichier et assemblés pour créer le code exécutable. En occurrence, il s’agit là d’un mineur de type XMRig Monero.
La seconde technique utilisée est moins complexe. La structure du fichier son est correcte, mais le contenu audio ne fait aucun sens et ressemble à du bruit blanc. C’est normal, car les pirates ont simplement pris le code binaire du mineur et l’ont passé par une fonction aléatoire. Une fois téléchargé, le code est reconstitué par la fonction inverse, puis exécuté. La même technique a été utilisée par les pirates pour faire passer une backdoor sur le système infecté.
La stéganographie se démocratise
Interrogé par ZDnet, Cylance explique que c’est la première fois que des pirates s’appuient sur la stéganographie pour diffuser des mineurs de cryptomonnaie. « L’utilisation de techniques de stéganographie nécessite une compréhension approfondie du format du fichier cible, a déclaré Lemos auprès de ZDNet. Elles sont généralement utilisées par des acteurs de menace sophistiqués qui souhaitent rester dans l’ombre pendant une longue période. »
En effet, jusqu’à présent, ces techniques de dissimulation ont principalement été trouvées dans des opérations de cyberespionnage. Les hackers russes en sont particulièrement friands. Récemment, les chercheurs d’Eset ont découvert une opération du groupe The Dukes faisant intervenir de la stéganographie basée sur les bits de poids faible pour diffuser des backdoors dans des images.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
