Se cacher à découvert : comment les logiciels malveillants peuvent être dissimulés dans des images grâce à la stéganographie.

En cybersécurité, les attaquants évoluent constamment et développent de nouvelles méthodes pour dissimuler du code malveillant dans des fichiers. L'une de ces méthodes est la stéganographie, la pratique consistant à cacher des informations secrètes dans un message ou un fichier ordinaire et non secret. Dans le contexte des images numériques, la stéganographie consiste à intégrer des données secrètes dans les pixels d'une image sans affecter son apparence visuelle.

Bien que la stéganographie puisse être utilisée à des fins légitimes, comme la protection d'informations sensibles, elle peut également être exploitée par des attaquants pour dissimuler des logiciels malveillants dans des fichiers apparemment innocents. Les malwares cachés dans des images via la stéganographie peuvent échapper à la détection par les logiciels antivirus traditionnels, ce qui en fait un outil efficace pour les attaquants.

Pour cacher un malware dans une image en utilisant des techniques de stéganographie, les attaquants suivent généralement ces étapes :

1. Sélection d'un fichier image : Les attaquants choisissent généralement un format d'image courant tel que JPEG, PNG ou BMP comme fichier porteur pour leur malware. Le fichier choisi doit être suffisamment grand pour contenir la charge utile du malware sans affecter de manière significative la taille du fichier ni son apparence visuelle.
2. Création d'une charge utile malveillante : La charge utile est le code ou les données que l'attaquant souhaite cacher dans l'image. Cette charge peut être n'importe quel type de malware, comme un virus, un cheval de Troie ou une porte dérobée.
3. Encodage de la charge utile : La charge utile est ensuite encodée à l'aide de techniques de stéganographie pour créer un nouveau fichier image. Elle est intégrée dans l'image en modifiant les bits de poids faible des valeurs des pixels. Comme les modifications sont mineures et que les valeurs globales des couleurs des pixels ne sont pas significativement affectées, l'œil humain ne peut détecter aucun changement dans l'image.
4. Distribution de l'image : L'attaquant distribue ensuite le fichier image contenant le malware caché via divers canaux tels que les emails, les réseaux sociaux ou des sites web malveillants. Une fois le fichier image téléchargé et ouvert, la charge utile malveillante cachée peut s'exécuter, causant potentiellement des dommages au système de la victime.

La détection de la stéganographie est difficile pour les outils anti-malware car les modifications apportées à une image sont très faibles. De plus, les attaques par stéganographie apparaissent souvent comme des menaces zero-day, rendant leur détection encore plus complexe.
Un exemple de malware utilisant la stéganographie est LokiBot, qui vole des informations sensibles telles que noms d'utilisateur, mots de passe et portefeuilles de cryptomonnaies. LokiBot s'installe sous forme de fichiers .jpg et .exe, le fichier .jpg débloquant les données nécessaires à son exécution.
 

Nouvelle variante du malware LokiBot utilise la stéganographie pour cacher son code
LokiBot, une famille de malwares initialement connue pour le vol d'informations et le keylogging, a été mise à jour avec de nouvelles capacités pour améliorer sa capacité à échapper à la détection. Une analyse récente d'une nouvelle variante de LokiBot par Trend Micro Research a révélé que le malware utilise désormais la stéganographie. Cette technique lui permet de cacher son code dans un fichier image. Le malware utilise également un mécanisme de persistance mis à jour et des emails de spam contenant des pièces jointes ISO malveillantes pour sa diffusion.

Par exemple, Trend Micro a découvert cette nouvelle variante de LokiBot lorsqu'une entreprise d'Asie du Sud-Est abonnée au service Managed Detection and Response de la société a reçu un email contenant une pièce jointe potentiellement malveillante et a alerté les chercheurs. L'email contenait une pièce jointe prétendument envoyée par une entreprise de confiserie en Inde. Cependant, le nom de l'expéditeur et la signature email ne correspondaient pas, et l'adresse IP de l'email était connue pour être malveillante.

Le malware s'installe sous le nom %Temp%[nomdefichier].exe, accompagné de %temp%[nomdefichier].jpg, qui contient des données binaires chiffrées utilisées tout au long des étapes de décompression jusqu'à ce que le code