Stegano : un malware qui se cache dans des pixels
jeu, 08/12/2016 - 15:30
Les cybercriminels ont une imagination débordante et sont d'une efficacité redoutable. Un billet de blog de la société de sécurité ESET alerte sur un nouveau malware qui se cache dans les graphiques de publicités animées.
Par ce biais des millions d'internautes ont été attaqués rien qu'en visitant des sites d'actualités renommés. Pour attaquer, les cybercriminels utilisent un serveur de publicités qui sert des bannières malicieuses en Flash. Ces bannières ont des scripts encodés dans le canal alpha des graphiques, canal qui définit le niveau de transparence des pixels. Cette présence dans le canal alpha induit des changement mineur dans la coloration du graphique, changement indétectables à l'oeil nu et évidemment invisible à la victime attaquée.
Laquelle de ces images est infectée ?
D'où le nom attribué à ce malware : Stegano. En référence à la stéganographie qui est l'art de dissimuler des écritures ou significations cachées dans des textes qui semblent tout à fait anodins. Même si ici il s'agit d'images, on n'est pas à ça près :-)
Stegano détecte s'il s'exécute dans un Flash vulnérable sous Internet Explorer. Si c'est le cas, il exploite les vulnérabilités et installe des malwares tels que des ransomwares sur la machine cible. Avec un tel procédé, il n'est même pas nécessaire que la victime fasse une action quelconque comme un clic sur la publicité malicieuse. Le simple fait que celle-ci s'affiche à l'écran est suffisant.
Le fonctionnement de Stegano est très complexe et élaboré, si bien que ce fonctionnement est décrit très en détail dans un billet séparé. Non seulement il est complexe, mais, les cybercriminels étant très attentifs à ce qu'il ne soient pas possible de remonter à eux, il utilise des techniques silencieuses et même paranoïdes, ESET dixit. Là où des malware attaquent systématiquement et si le système attaqué vulnérable tant mieux, sinon tant pis, Stegano n'attaque qu'après s'être assuré que le système cible est bien vulnérable. Et cela va même beaucoup plus loin. Le malware est capable de détecter s'il tourne dans une sandbox ou dans une machine virtuelle qui aurait pu être créée pour le détecter, et dans ce cas, il se tient tranquille.
Les bannières malicieuses se trouvent sur les domaines h---s://browser-defence.com and h---s://broxu.com, ce qui ne signifie nullement qu'elles ne peuvent pas être ailleurs.
Pas grand chose à faire contre de telles attaques. ESET redonne un conseil qui est une évidence (ou plutôt qui devrait l'être pour tout le monde), les utilisateurs doivent tenir les systèmes d'exploitation et logiciels rigoureusement à jour.