Stegano, le malware qui se cache dans les pixels des pubs en ligne

 

Des pirates s’appuient sur des fausses pubs pour diffuser à des millions d'internautes un malware particulièrement sophistiqué, qui s’appuie sur de multiples techniques de dissimulation.

Voilà encore une preuve que les cybercriminels deviennent de plus en plus malins. Les chercheurs en sécurité d'Eset viennent de mettre la main sur un malware qui exploite des failles dans Internet Explorer et Flash Player, et dont le code est caché directement dans les pixels d'une image de publicité. C’est pourquoi il a été baptisé « Stegano », en référence à la stéganographie, l’art de dissimuler des messages secrets dans des choses en apparence anodines, comme ici une pub en ligne.
L’impact de ce malware, en revanche, est loin d’être anodin. Selon Eset, la publicité vérolée a été diffusée entre autres sur des sites d’actualités très populaires, lui permettant d’être affichée par « plus d’un million d’internautes », explique Robert Lipovsky, l’un des chercheurs d’Eset, dans une note de blog. L’attaque se déroule de façon totalement automatique, la victime n’a pas même pas besoin de cliquer sur la publicité. D’après les chercheurs, Stegano a été utilisé par les cybercriminels pour installer sur les machines des victimes des chevaux de Trois bancaires, des portes dérobées et des logiciels espions. Mais en théorie, il n’y a pas vraiment de limite. « Les victimes pourraient également être confrontées à de méchantes attaques de ransomware », souligne Robert Lipovsky.

Eset - Deux exemples de publicités malveillantes utilisées par Stegano

Techniquement, l’attaque Stegano se déroule en plusieurs étapes. Lorsque la publicité malveillante s’affiche pour la première fois, elle exécute un premier code Javascript assez inoffensif qui va récolter des informations basiques sur l’environnement matériel et logiciel de la machine. Si celui-ci est jugé intéressant, le serveur va remplacer l’image de la publicité par un clone vérolé. La seule différence avec la première image est un paramètre appelé « alpha channel », qui définit le niveau de transparence d’un pixel. Or, ce paramètre représente en réalité un message secret que le précédent code Javascript va extraire et assembler, pixel après pixel. A l’œil nu, la différence est presque imperceptible. Comparée à l’originale, l’image vérolée semble juste légèrement brouillée.

Eset - A gauche, image originale; à droite, image vérolée.

L’encodage du message est relativement simple : les alphas de deux pixels consécutifs représentent respectivement le chiffre de dizaine et le chiffre d’unité du numéro d’un caractère ASCII, à un calcul près. Exemple : les alphas 239 et 253 donnent, après quelques opérations, le chiffre 102 qui représente la lettre « f ». Le texte ainsi récupéré est un second code Javascript, nettement plus intrusif. Une fois exécuté, il va exploiter une faille dans Internet Explorer (CVE-2016-0162) permettant d’analyser le contenu de l’ordinateur. Il cherchera en particulier à savoir si un antivirus est installé ou s’il s’agit de l’ordinateur d’un chercheur en sécurité (présence d’un bac à sable ou d’un analyseur réseau tel que Wireshark par exemple).

Un cheval de Troie codé dans une image GIF

Si la voie est dégagée, il va créer un iframe invisible pour y charger un fichier Flash malveillant. Celui-ci peut exploiter trois failles différentes dans le lecteur Flash, en fonction de la version rencontrée (CVE-2015-8651, CVE-2016-1019 et CVE-2016-4117). Un code shell est ensuite installé pour détecter – à nouveau – les éventuels produits de sécurité qui pourraient faire obstacle. Et c’est seulement à ce moment qu’il va récupérer depuis un serveur  la « charge utile », c’est-à-dire le cheval de Troie ou le logiciel espion final pour lequel toute cette attaque a été réalisée. Celui-ci est téléchargé sous la forme… d’une image GIF.
Stéganographie, analyse de fichiers, détection de produits de sécurité, camouflage des fichiers téléchargés… Avec Stegano, les cybercriminels montrent à quel point ils maîtrisent désormais les techniques de dissimulation. Heureusement, ce n’est toujours pas suffisant pour rester totalement indétectable. Les principaux pays ciblés sont la République tchèque, le Canada, la Grande-Bretagne, l’Australie, l’Espagne et l’Italie. Pour se protéger, le meilleur moyen est de mettre à jour Internet Explorer et Flash Player, car les attaquants s’appuient sur des failles connues. Voire de ne plus utiliser ces logiciels aujourd'hui dispensables. L’usage d’un antivirus ou d’un bloqueur de pub peut également mettre l’internaute à l’abri.