Même le logo Windows peut infecter votre ordinateur

Icône Windows
(Crédit photo: Shutterstock)

Il semble que même le logo emblématique de Windows ne soit plus aussi digne de confiance en 2022. Et ce contre toute volonté de Microsoft, certains cybercriminels étant parvenu à implémenter du code malveillant dans des images représentant ce dernier. 

Les experts en cybersécurité de Symantec affirment avoir repéré une campagne massive de piratage, utilisant un procédé consistant à cacher un code malveillant dans des images inoffensives. Ce procédé est connu sous le nom de stéganographie. Il s’avère généralement exploité pour contourner la détection des programmes antivirus.

Cible n°1 : les gouvernements

Dans ce cas particulier, le tristement célèbre groupe de cybercriminels Witchetty apparaît engagé dans ces attaques stéganographiques. Il serait fortement lié à un autre acteur, Cicada (AKA APT10), et également considéré comme faisant partie de l'organisation TA410 qui a ciblé plusieurs fournisseurs d'énergie américains dans le passé.

Le groupe a lancé sa dernière campagne en février 2022, visant au moins deux gouvernements du Moyen-Orient. 

De plus, une attaque contre une bourse africaine serait toujours active. Witchetty a eu recours à des attaques stéganographiques pour cacher une porte dérobée chiffrée en XOR et hébergée sur un service cloud afin de minimiser les chances de détection. Pour déposer des codes encoquillés sur les terminaux vulnérables, les hackers ont exploité les vulnérabilités connues de Microsoft Exchange ProxyShell pour l'accès initial : CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE-2021-26855 et CVE-2021-27065.

"Déguiser la charge utile de cette manière a permis aux cybercriminels de l'héberger sur un service gratuit et de confiance", a déclaré Symantec. "Les téléchargements à partir d'hôtes de confiance tels que GitHub sont beaucoup moins susceptibles de soulever des drapeaux rouges que les téléchargements à partir d'un serveur de commande et de contrôle (C&C) contrôlé par les pirates informatiques."

La porte dérobée chiffrée en XOR permet aux hackers de réaliser un certain nombre de tâches, notamment de manipuler des fichiers et des dossiers, d'exécuter des processus, de modifier le registre Windows, de télécharger des logiciels malveillants supplémentaires, de voler des documents, ainsi que de transformer la plateforme compromise en serveur C2.

La dernière fois que nous avons entendu parler de Cicada, c'était en avril 2022, lorsque des chercheurs ont signalé que le groupe exploitait le lecteur multimédia VLC pour distribuer des logiciels malveillants et espionner des agences gouvernementales et des institutions liées à ces dernières aux États-Unis, au Canada, à Hong Kong, en Turquie, en Israël, en Inde, au Monténégro et en Italie.

Via BleepingComputer (s'ouvre dans un nouvel onglet)

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.