Accueil > Sécurité > Les fichiers audio WAV peuvent contenir des malwares et des cryptominers
fichiers audo wav malwares

Les fichiers audio WAV peuvent contenir des malwares et des cryptominers

Les hackers dissimulent désormais leurs malwares dans des les fichiers audio au format WAV. C’est ce que révèlent les chercheurs en cybersécurité de Blackberry Cylance.

La plupart du temps, les malwares sont dissimulés dans des fichiers de type texte, archive ou exécutable. Par le passé, des hackers ont aussi injecté des malwares dans des fichiers images au format JPEG ou PNG en utilisant la stéganographie. Cependant, désormais, les cybercriminels se tournent aussi vers les fichiers audio au format WAV.

En juin 2019, les chercheurs de Symantec découvraient que le groupe de hackers russes Turla avait intégré la porte dérobée Metasploit Meterpreter dans un fichier WAV. À présent, les chercheurs de Blackberry Cylance annoncent que la même méthode de stéganographie a été utilisée pour infecter des appareils à l’aide du code Metsploit ou de cryptominers XMRig Monero.

Chaque fichier WAV analysé par les chercheurs est couplé avec un composant loader chargé de décoder et d’exécuter le contenu malicieux dissimulé dans les données du fichier audio. Ainsi, même si ces fichiers WAV produisent une musique tout à fait ordinaire lorsqu’ils sont exécutés, ils corrompent en réalité le système de la victime.

Des fichiers audio WAV corrompus découverts par les chercheurs de Cylance

Les loaders des fichiers WAV utilisent trois méthodes différentes pour décoder et exécuter le code malicieux. Chacune de ces techniques pourrait permettre d’insérer les malwares dans n’importe quel type de fichier.

À l’évidence, l’objectif de cette nouvelle campagne de malwares est de permettre aux cybercriminels de dérober des cryptomonnaies à leurs victimes tout en prenant le contrôle de la machine pour accéder aux données qui y sont stockées. Cette nouvelle technique est particulièrement inquiétante, car la détection du code est rendue très difficile.

Pour l’heure, il est difficile de déterminer qui est à l’origine de cette campagne. Même si elle présente des similitudes avec celle orchestrée par Turla en juin dernier, n’importe quel autre groupe de hackers pourrait utiliser des outils similaires pour parvenir à ses fins…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Send this to a friend