Des chercheurs en sécurité ont découvert une campagne de logiciels malveillants qui utilise des fichiers audio apparemment innocents pour diffuser du code malveillant et des mineurs cryptés. Les fichiers WAV contenant les logiciels malveillants qui y sont cachés à l'aide de la stéganographie jouent normalement sans aucune indication de problème.
Les fichiers contenant des logiciels malveillants sont envoyés aux victimes par e-mail. Une fois qu'ils sont joués, ils installent et exécutent un outil d'exploration de données pour la crypto-monnaie Monero. Dans d'autres cas, le code Metasploit était utilisé pour ouvrir un ordinateur à des attaques à distance.
Les chercheurs Anuj Soni, Jordan Barth et Brian Marks de BlackBerry Cylance sont le trio qui a fait la découverte. «Chaque fichier WAV était associé à un composant de chargeur pour décoder et exécuter le contenu malveillant qui était secrètement intégré dans l'audio du fichier», ont-ils expliqué. "Lors de la lecture, certains fichiers WAV produisaient de la musique sans problèmes de qualité ni problèmes notables, d'autres généraient simplement de l'électricité statique (bruit blanc).
«Notre analyse révèle que certains fichiers WAV contiennent du code associé au processeur de minage XMRig Monero. D'autres incluent le code Metasploit utilisé pour construire un shell inversé. Les deux charges utiles ont été découvertes dans le même environnement, suggérant une double campagne pour implémenter des logiciels malveillants. pour obtenir et établir un accès à distance au sein du réseau de la victime. "
Caché dans la musique
Le codage et les obscurcissements utilisés pour coder les logiciels malveillants dans les fichiers audio le rendent très difficile à détecter. Bien que les exemples découverts par les chercheurs de BlackBerry Cylance aient utilisé des fichiers audio, ils préviennent que les mêmes techniques pourraient être utilisées pour masquer des logiciels malveillants dans n'importe quel type de fichier.
Une description détaillée du fonctionnement de l'attaque est disponible sur le site Web Threat Vector.