A .WAV With A Payload, (Tue, Apr 21st)
Mis à jour :
Dissimulation de maliciels dans des fichiers .WAV
Des acteurs malveillants exploitent des fichiers audio au format .WAV pour dissimuler des charges utiles malveillantes. Contrairement à une approche par stéganographie, le fichier audio est altéré en remplaçant directement les données sonores par une chaîne encodée en BASE64, laquelle contient un exécutable (PE) protégé par un chiffrement XOR.
Points clés :
- Vecteur d’attaque : Utilisation de fichiers audio légitimes pour transporter du code malveillant, notamment via des paquets compromis sur PyPI (ex: Telnyx).
- Méthode : Le fichier .WAV reste fonctionnel mais émet un bruit statique. La charge utile est extraite par décodage BASE64 suivi d’une attaque par texte clair connu (KPA) pour casser le chiffrement XOR.
- Analyse : Une fois le fichier PE extrait, les outils d’analyse standard (comme
pecheck.py) permettent d’identifier la nature malveillante du binaire.
Vulnérabilités :
- Aucune CVE spécifique n’est associée à cette technique ; il s’agit d’une méthode de dissimulation (obfuscation) visant à contourner les analyses statiques basiques des passerelles de sécurité.
Recommandations :
- Analyse comportementale : Ne pas se fier uniquement aux signatures de fichiers ou à l’extension ; inspecter le contenu des fichiers suspects pour détecter des données encodées (BASE64) là où elles ne devraient pas figurer.
- Approvisionnement logiciel : Pratiquer une vigilance accrue lors de l’intégration de bibliothèques tierces provenant de gestionnaires de paquets publics (comme PyPI) en vérifiant l’intégrité et la source des packages.
- Filtrage : Mettre en œuvre des solutions de détection capables d’analyser le contenu réel des fichiers multimédias plutôt que leurs métadonnées.