Dissimuler du code malveillant au sein d’une image… Le concept n’est pas nouveau mais il revient sur le devant de la scène Cyber avec une vaste campagne d’attaques menée par le groupe TA558.

Diverses organisations latino-américaines ont récemment été la cible d’une campagne de cyberattaques sophistiquées, exploitant une technique de dissimulation de malwares au sein d’images, technique aussi connue sous le nom de stéganographie.

La stéganographie est une technique consistant à dissimuler une information dans un message, une image ou un objet. N’importe quel contenu numérique peut ainsi être caché et diffusé sans qu’il soit possible de le détecter à l’œil nu. Un contenu qui peut être un texte, une photo, un enregistrement audio, une courte vidéo ou… un malware !

Baptisée SteganoArmor, l’opération par le groupe cybercriminel TA558 a été récemment repérée par les experts de Positive Technologies. Le groupe utilise le principe de la stéganographie pour masquer du code malveillant au sein de fichiers Word apparemment inoffensifs afin d’échapper aux solutions de sécurité qui protègent les messageries.

TA558 s’est appuyé sur une vieille faille de Word et Excel (CVE-2017-1182) pour glisser du code d’attaque à même d’affecter les organisations visées restées sur des versions anciennes et non patchées de la suite bureautique de Microsoft.

Les emails malveillants sont accompagnés d’un fichier bureautique dont l’ouverture déclenche automatiquement le téléchargement d’un script Visual Basic (VBS) depuis un service légitime de stockage en ligne. Ce script télécharge ensuite un fichier JPG contenant une charge utile masquée par stéganographie puis lance l’exécution de cette charge entraînant l’installation de divers types de logiciels malveillants, parmi lesquels AgentTesla, FormBook, Remcos, LokiBot, Guloader, Snake Keylogger et XWorm. La plupart des attaques ont ciblé les secteurs industriels, services publics, électricité et construction de pays d’Amérique latine, bien que des entreprises situées en Russie, Roumanie et Turquie aient également été visées.

Pour en savoir plus : SteganoAmor campaign: TA558 mass-attacking companies and public institutions all around the world

 

À lire également :

L’importance de garder un œil sur les menaces internes

Bots malveillants : un défi majeur pour le secteur de la distribution informatique

Plongée au cœur de l’ombre numérique : une nouvelle génération de cybercriminels

Une supply chain numérisée pour une meilleure traçabilité…