Logiciels malveillants, sécurité numérique
Il y a plus dans certaines images qu’il n’y paraît : leur façade apparemment innocente peut masquer une sinistre menace.
02 avril 2024
•
,
4 minute. lis
Les logiciels de cybersécurité sont devenus tout à fait capables de détecter les fichiers suspects, et les entreprises étant de plus en plus conscientes de la nécessité de renforcer leur sécurité avec des couches de protection supplémentaires, un subterfuge pour échapper à la détection est devenu nécessaire.
Essentiellement, tout logiciel de cybersécurité est suffisamment puissant pour détecter la plupart des fichiers malveillants. Par conséquent, les auteurs de menaces recherchent continuellement différentes façons d’échapper à la détection, et parmi ces techniques figurent l’utilisation de logiciels malveillants cachés dans des images ou des photos.
Logiciels malveillants cachés dans les images
Cela peut paraître tiré par les cheveux, mais c’est bien réel. Les logiciels malveillants placés dans des images de différents formats résultent de la stéganographie, la technique consistant à cacher des données dans un fichier pour éviter toute détection. ESET Research a repéré cette technique utilisée par le Groupe de cyberespionnage Worok, qui a caché du code malveillant dans des fichiers image, en ne récupérant que des informations spécifiques sur les pixels pour en extraire une charge utile à exécuter. Gardez à l’esprit que cela a été fait sur des systèmes déjà compromis, car comme mentionné précédemment, cacher des logiciels malveillants dans des images consiste davantage à échapper à la détection qu’à l’accès initial.
Le plus souvent, des images malveillantes sont mises à disposition sur des sites Web ou placées dans des documents. Certains se souviennent peut-être des logiciels publicitaires : code caché dans les bannières publicitaires. Seul, le code de l'image ne peut pas être exécuté, exécuté ou extrait par lui-même lorsqu'il est intégré. Un autre logiciel malveillant doit être livré pour se charger d'extraire le code malveillant et de l'exécuter. Ici, le niveau d'interaction utilisateur requis est variable et la probabilité qu'une personne remarque une activité malveillante semble plus dépendre du code impliqué dans l'extraction que de l'image elle-même.
Le ou les bits les moins (les plus) significatifs
L’une des méthodes les plus sournoises pour intégrer du code malveillant dans une image consiste à remplacer le bit le moins significatif de chaque valeur rouge-vert-bleu-alpha (RGBA) de chaque pixel par un petit morceau du message. Une autre technique consiste à intégrer quelque chose dans le canal alpha d'une image (indiquant l'opacité d'une couleur), en n'utilisant qu'une partie raisonnablement insignifiante. De cette façon, l’image apparaît plus ou moins identique à une image normale, ce qui rend toute différence difficile à détecter à l’œil nu.
Un exemple de cela est celui où des réseaux publicitaires légitimes ont diffusé des publicités qui ont potentiellement conduit à l'envoi d'une bannière malveillante à partir d'un serveur compromis. Le code JavaScript a été extrait de la bannière, exploitant le Vulnérabilité CVE-2016-0162 dans certaines versions d'Internet Explorer, pour obtenir plus d'informations sur la cible.
Il peut sembler que les deux images sont identiques, mais l’une d’elles inclut du code malveillant dans le canal alpha de ses pixels. Remarquez à quel point l'image de droite est étrangement pixelisée.
(Source : Recherche ESET)
Les charges utiles malveillantes extraites des images pourraient être utilisées à diverses fins. Dans le cas de vulnérabilité de l'Explorateur, le script extrait vérifiait s'il s'exécutait sur une machine surveillée, comme celle d'un analyste de logiciels malveillants. Sinon, il est redirigé vers un kit d'exploit page de destination. Après exploitation, une charge utile finale a été utilisée pour diffuser des logiciels malveillants tels que des portes dérobées, des chevaux de Troie bancaires, des logiciels espions, des voleurs de fichiers, etc.
Comme vous pouvez le constater, la différence entre une image propre et une image malveillante est plutôt minime. Pour une personne ordinaire, l'image malveillante peut sembler légèrement différente, et dans ce cas, l'apparence étrange pourrait être attribuée à une qualité et une résolution d'image médiocres, mais la réalité est que tous ces pixels sombres mis en évidence dans l'image de droite sont un signe de code malin.
Aucune raison de paniquer
Vous vous demandez peut-être si les images que vous voyez sur les réseaux sociaux pourraient contenir un code dangereux. Considérez que les images téléchargées sur les sites Web de médias sociaux sont généralement fortement compressées et modifiées, il serait donc très problématique pour un acteur malveillant d'y cacher du code entièrement préservé et fonctionnel. Cela est peut-être évident lorsque vous comparez la façon dont une photo apparaît avant et après son téléchargement sur Instagram – il existe généralement des différences de qualité évidentes.
Plus important encore, le masquage des pixels RVB et d'autres méthodes stéganographiques ne peuvent constituer un danger que lorsque les données cachées sont lues par un programme capable d'extraire le code malveillant et de l'exécuter sur le système. Les images sont souvent utilisées pour dissimuler les logiciels malveillants téléchargés depuis commandement et contrôle (C&C) serveurs pour éviter d’être détectés par les logiciels de cybersécurité. Dans un cas, un cheval de Troie appelé ZéroT, via des documents Word infestés joints aux e-mails, a été téléchargé sur les machines des victimes. Cependant, ce n’est pas la partie la plus intéressante. Ce qui est intéressant, c'est qu'il a également téléchargé une variante du PlugX RAT (alias Korplug) — utilisant la stéganographie pour extraire les logiciels malveillants d'un ordinateur. photo de Britney Spears.
En d’autres termes, si vous êtes protégé contre les chevaux de Troie comme ZeroT, vous n’avez pas besoin de vous soucier autant de l’utilisation de la stéganographie.
Enfin, tout code d’exploitation extrait des images dépend de la présence de vulnérabilités pour une exploitation réussie. Si vos systèmes sont déjà corrigés, il n’y a aucune chance que l’exploit fonctionne ; c’est donc une bonne idée de toujours garder votre cyberprotection, vos applications et vos systèmes d’exploitation à jour. L'exploitation par des kits d'exploitation peut être évitée en exécutant un logiciel entièrement corrigé et en utilisant un logiciel fiable et mis à jour. solution de sécurité.
Le même règles de cybersécurité s’appliquent comme toujours – et la sensibilisation est la première étape vers une vie plus cyber-sécurisée.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.welivesecurity.com/en/malware/malware-hiding-in-pictures-more-likely-than-you-think/
- :possède
- :est
- :ne pas
- $UP
- a
- Qui sommes-nous
- accès
- activité
- acteurs
- Ad
- Supplémentaire
- annonces
- Numérique
- Après
- aka
- Tous
- seul
- Alpha
- déjà
- aussi
- toujours
- parmi
- an
- analyste
- ainsi que les
- Une autre
- tous
- apparaît
- Appliquer
- applications
- avr
- SONT
- AS
- At
- disponibles
- éviter
- évité
- conscients
- Backdoors
- Services bancaires
- bannière
- BE
- devenez
- devenir
- before
- va
- jusqu'à XNUMX fois
- Bit
- Bleu
- tous les deux
- entreprises
- mais
- by
- appelé
- CAN
- ne peut pas
- capable
- les soins
- maisons
- Catégories
- Chance
- Développement
- vérifié
- espace extérieur plus propre,
- clair
- code
- Couleur
- comparer
- Compromise
- cacher
- Considérer
- contenu
- continuellement
- des bactéries
- pourriez
- cyber
- Cybersécurité
- DANGER
- dangereux
- Foncé
- données
- Date
- livrer
- livré
- dépendant
- dépend
- détecter
- Détection
- différence
- différences
- différent
- numérique
- do
- docs
- INSTITUTIONNELS
- fait
- téléchargés
- chacun
- emails
- enchâsser
- intégré
- améliorée
- assez
- Recherche ESET
- essence
- éluder
- Chaque
- exemple
- exécuter
- réalisé
- Exploiter
- exploitation
- exploitant
- explorateur
- extrait
- œil
- façade
- Déposez votre dernière attestation
- Fichiers
- finale
- Prénom
- Pour
- de
- d’étiquettes électroniques entièrement
- obtenez
- Bien
- cultivé
- port
- Dur
- fortement
- d'où
- ici
- caché
- Cacher
- cacher
- Souligner
- Surbrillance
- Comment
- Cependant
- HTTPS
- idée
- if
- image
- satellite
- surtout
- in
- inclut
- de plus en plus
- d'information
- initiale
- innocent
- à l'intérieur
- insignifiant
- l'interaction
- intéressant
- Internet
- développement
- impliqué
- IT
- SES
- lui-même
- JavaScript
- jpeg
- jpg
- juste
- XNUMX éléments à
- atterrissage
- Nom de famille
- poules pondeuses
- au
- LED
- à gauche
- légitime
- moins
- Niveau
- VIE
- comme
- Probable
- Style
- click
- Les machines
- LES PLANTES
- Fabrication
- malveillant
- malware
- masque
- largeur maximale
- peut être
- Médias
- Se rencontre
- mentionné
- message
- méthodes
- pourrait
- m.
- l'esprit
- modifié
- surveillé
- PLUS
- (en fait, presque toutes)
- beaucoup
- must
- nécessaire
- Besoin
- réseaux
- nist
- aucune
- Remarquer..
- évident
- of
- de rabais
- souvent
- on
- ONE
- uniquement
- sur
- d'exploitation
- systèmes d'exploitation
- or
- Autre
- page
- partie
- être
- personne
- photo
- Photos
- image
- PHOTOS
- pièce
- pixel
- Platon
- Intelligence des données Platon
- PlatonDonnées
- pauvres
- partieInvestir dans des appareils économes en énergie et passer à l'éclairage
- poser
- l'éventualité
- représentent
- précédemment
- problématique
- Programme
- protégé
- protection
- des fins
- qualité
- assez
- RAT
- plutôt
- Lire
- réal
- Réalité
- raison
- Standard
- fiable
- rappeler
- remplacer
- conditions
- un article
- Résolution
- résultat
- RGB
- bon
- Courir
- pour le running
- s
- même
- scénario
- sécurisé
- sécurité
- sur le lien
- Chercher
- sembler
- apparemment
- semble
- envoyé
- servi
- serveur
- Serveurs
- signer
- significative
- similaires
- depuis
- légèrement différente
- petit
- So
- Réseaux sociaux
- réseaux sociaux
- Logiciels
- quelques
- Quelqu'un
- quelque chose
- Son
- Identifier
- groupe de neurones
- taches
- spyware
- étapes
- STRONG
- réussi
- tel
- soupçonneux
- combustion propre
- Système
- prend
- prise
- Target
- technique
- techniques
- que
- qui
- Les
- leur
- Les
- puis
- Là.
- penser
- this
- ceux
- bien que?
- menace
- acteurs de la menace
- trois
- Avec
- à
- vers
- Trojan
- deux
- typiquement
- a actualisé
- téléchargé
- utilisé
- d'utiliser
- Utilisateur
- en utilisant
- d'habitude
- Plus-value
- Variante
- divers
- versions
- très
- vulnérabilités
- vulnérabilité
- était
- Façon..
- façons
- sites Internet
- quand
- que
- tout en
- WHO
- largeur
- comprenant
- dans les
- demande
- Word
- des mots
- activités principales
- de travail
- pourra
- Vous n'avez
- Votre
- zéphyrnet
