Les pirates utilisent des images pour dissimuler des logiciels malveillants, déployer un enregistreur de frappe VIP et un voleur d'activité 0bj3ctivity

Se traduisent par :

Selon le rapport Threat Insights de HP Wolf Security pour le troisième trimestre 2024, les cybercriminels poussent leurs tactiques furtives à un niveau supérieur en intégrant du code malveillant dans des fichiers image pour diffuser des logiciels malveillants tels que VIP Keylogger et 0bj3ctivity Stealer. Ces campagnes sophistiquées exploitent des plateformes de confiance comme Archive.org pour diffuser des logiciels malveillants tout en contournant les méthodes de détection traditionnelles.

Table des matières

Comment fonctionne l'attaque : des logiciels malveillants cachés dans des images

Les campagnes commencent par un e-mail de phishing conçu pour inciter les victimes à ouvrir des pièces jointes malveillantes . Ces e-mails imitent souvent des factures ou des bons de commande pour renforcer leur crédibilité. Une fois ouverte, la pièce jointe déclenche un exploit de la vulnérabilité obsolète de l'éditeur d'équations Microsoft ( CVE-2017-11882 ) pour télécharger un fichier VBScript.

La chaîne d'attaque

E-mail de phishing : les victimes reçoivent un e-mail trompeur contenant des pièces jointes malveillantes.
Exécution VBScript : le VBScript téléchargé exécute un script PowerShell.
Récupération d’image : PowerShell télécharge une image depuis Archive.org.
Extraction de code malveillant : l'image contient un logiciel malveillant codé en Base64 qui est extrait et décodé dans un exécutable .NET.
Livraison de la charge utile : le chargeur .NET installe la charge utile finale du logiciel malveillant.

Dans la première campagne, cette charge utile est VIP Keylogger, un outil conçu pour capturer les frappes au clavier, le contenu du presse-papiers, les captures d'écran et les informations d'identification. Dans la deuxième campagne, la charge utile est 0bj3ctivity Stealer, un malware de vol d'informations.

Les kits de logiciels malveillants réduisent la barrière pour les attaquants

Les similitudes entre les deux campagnes indiquent que les cybercriminels utilisent des kits de malware. Ces kits simplifient le processus d’attaque, réduisant l’expertise technique requise pour exécuter des chaînes d’infection complexes. Cette tendance reflète la marchandisation croissante de la cybercriminalité, où les outils pré-conçus facilitent le déploiement de malwares, même pour les attaquants novices.

Techniques supplémentaires utilisées

HP Wolf Security a également identifié la contrebande de code HTML comme une tactique complémentaire. Dans cette méthode, les attaquants diffusent des logiciels malveillants tels que le RAT XWorm à l'aide de droppers AutoIt cachés dans des fichiers HTML malveillants. Certains de ces fichiers auraient été générés à l'aide des outils GenAI, ce qui montre comment l'intelligence artificielle est utilisée pour améliorer la diffusion et l'obscurcissement des logiciels malveillants.

Les campagnes GitHub livrent le voleur de Lumma

Une autre campagne notable a consisté à utiliser des dépôts GitHub qui se faisaient passer pour des sources de cheats et d'outils de modification de jeux vidéo. Ces dépôts distribuaient secrètement le malware Lumma Stealer via des droppers basés sur .NET, mettant en évidence la manière dont les attaquants exploitent les plateformes populaires pour cibler des utilisateurs sans méfiance.

Pourquoi les attaques basées sur l’image sont-elles une menace ?

L'intégration de logiciels malveillants dans des images est une technique connue sous le nom de stéganographie, qui consiste à dissimuler un code malveillant dans des fichiers apparemment inoffensifs. Cette méthode contourne de nombreux systèmes antivirus, qui sont moins susceptibles d'examiner les fichiers image. L'utilisation de plateformes d'hébergement fiables comme Archive.org complique encore davantage les efforts de détection.

Stratégies d'atténuation pour les organisations

Pour se défendre contre ces menaces en constante évolution, les organisations doivent mettre en œuvre les mesures suivantes :

Corriger les vulnérabilités connues : corrigez les vulnérabilités logicielles obsolètes telles que CVE-2017-11882.
Activer la détection avancée des menaces : utilisez des solutions capables de détecter la stéganographie et le comportement suspect des fichiers.
Sensibiliser les employés : Formez le personnel à reconnaître les e-mails de phishing et à éviter d’ouvrir les pièces jointes inattendues.
Limitez l’accès aux sources fiables : limitez l’utilisation des plateformes de partage de fichiers aux domaines approuvés.

La marchandisation croissante de la cybercriminalité

Les kits de malwares devenant plus accessibles, les attaquants de tous niveaux peuvent assembler des chaînes d’infection efficaces. L’intégration d’outils d’IA dans la création de malwares amplifie encore le défi pour les défenseurs de la cybersécurité, rendant les attaques plus variées et plus difficiles à attribuer.

Les conclusions de HP Wolf Security soulignent l'urgence de garder une longueur d'avance sur ces menaces en constante évolution. En adoptant des stratégies de défense proactives et en surveillant les tactiques émergentes, les entreprises peuvent mieux protéger leurs réseaux contre ces campagnes sophistiquées.

SpyHunter pour Windows d'EnigmaSoft a obtenu la certification AV-TEST

Rechercher

Changer de région