Des chercheurs ont identifié une nouvelle tendance inquiétante : des pirates emploient de plus en plus la stéganographie, une version numérique d’un stratagème ancien consistant à dissimuler des messages à l’intérieur d’images, afin de masquer les traces de leur activité malveillante sur un ordinateur attaqué.

Un certain nombre de malwares espions ainsi que plusieurs autres destinés au vol d’informations financières ont récemment été repérés utilisant cette technique, expliquent les spécialistes de l’éditeur Kaspersky.

Dans le cadre d’une cyberattaque ciblée type, un acteur malveillant – une fois infiltré dans le réseau attaqué – établit une tête de pont puis collecte des informations de valeur afin de les transférer par la suite à un serveur de commande et de contrôle (C&C). Dans la plupart des cas, des solutions de sécurité ou des outils analytiques professionnels éprouvés sont en mesure de détecter la présence de l’intrus sur le réseau à chaque phase d’une attaque, notamment au moment de l’exfiltration des données volées. En effet, cette exfiltration laisse généralement des traces, par exemple l’enregistrement de connexions à une adresse IP inconnue ou inscrite en liste noire. Or le recours à la stéganographie rend cette détection difficile.

Dans ce scénario, les utilisateurs malveillants insèrent les informations dérobées directement dans le code d’une banale photo ou vidéo, qui est ensuite envoyée au serveur C&C. Il est donc peu probable que cet envoi déclenche une alerte de sécurité de la part des technologies de protection des données. La raison en est qu’après l’intervention du pirate, l’image elle-même ne présente aucune modification visuelle, tout comme dans sa taille et la plupart des autres paramètres, n’éveillant par conséquent aucun soupçon. Cela fait de la stéganographie une technique lucrative pour les acteurs malveillants lorsqu’il s’agit pour eux de choisir une méthode d’exfiltration des données depuis un réseau attaqué.

Ces derniers mois, les chercheurs de Kaspersky Lab ont été témoins d’au moins trois opérations de cyberespionnage faisant appel à cette technique. Plus inquiétant encore, celle-ci est aussi activement pratiquée par des cybercriminels, notamment dans des mises à jour des chevaux de Troie Zerp, ZeusVM, Kins, Triton ou autres. La majorité de ces malwares sont cibles généralement des établissements financiers et les utilisateurs de leurs services. Cela pourrait être le signe d’une prochaine adoption massive de la technique par les auteurs de malwares et – en conséquence – d’une complexité généralement accrue de leur détection.

Source : Securelist.com.