Commentaires : Des malwares utilisent un format audio pour éviter les antivirus

Deux rapports publiés en juin et en octobre montrent l’utilisation par des pirates du format audio WAV pour la dissimulation de malwares et éviter ainsi les antivirus.

Comme on s’en doute, le fichier wave en lui-même est inoffensif, il faut un exécutable (loader) pour le charger et extraire le code malicieux.
Il faut aller à la source de la source pour le savoir https://threatvector.cylance.com/en_us/home/malicious-payloads-hiding-beneath-the-wav.html

4 « J'aime »

La stéganographie permettait de dissimuler des messages dans des photos il me semble au départ.

S’ils arrivent à faire cela avec le format mp3… Ou mp4…

Ma source elle-même le précise : “The WAV files came coupled with a loader component, which employ either steganography or an algorithm to decode and execute the malicious code woven throughout the file’s audio data”.

C’est vicieux je trouve comme système.

Edit: on risque d’avoir une vagu d’attaques…

Vous avez raison, désolé.
C’est de ma faute, d’habitude je vais directement au bas de la source pour vérifier s’il en existe une autre, ce qui est le cas, donc j’ai cru que vous aviez rapporté votre source dans son ensemble alors que vous avez escamoté ce détail pourtant très important.

Le piratage est vicieux par essence. Dans le cas présent, j’ai l’impression que les pirates visent davantage des entreprises que des particuliers.

Le dernier paragraphe précise le mode de fonctionnement supposé des pirates, qui se fait en deux temps : « Ils ont été chargés à partir du disque, parfois en tant qu’argument CMD. Les acteurs de la menace ont probablement utilisé des techniques de spear-phishing (un hameçonnage ultra-personnalisé) pour obtenir un accès initial. Ensuite, ils ont probablement installé le shell inversé pour télécharger les autres exécutables et les fichiers WAV », suppose-t-il.

Même si cette précision n’avait pas été faite, une personne souhaitant davantage d’informations dispose dans tous les cas de la source. C’est même pour cette raison qu’elle est mentionnée.

j’ai pas compris : les pirates envoient à la victime le wav + un programme soi disant pour lire le wav mais qui charge en mémoire des éléments cachés dans le wav ?

Je suis d’accord. Mais carrément de la stéganographie dans un fichier audio…
On sait s’il y a besoin d’un gros fichiers audio?
J’imagine ce genre de techniques étendues aux mp3 ou à des vidéos soit sur Youtube, les tubes porno ou en P2P… Cela ferait de gros dégâts. Pour les tubes, je me demande s’ils ne recompressent pas les vidéos ce qui éviteraient cela.
Pourquoi se priveraient-ils d’attaquer les particuliers à terme?

C’est ça. Les deux charges utiles sont chargées séparément, le premier servant à extraire et lancer le malware qui se trouve dans le fichier WAV

Je n’ai pas vu d’infos concernant la taille des fichiers. En revanche, sachant que ça a déjà été utilisée pour des fichiers image, j’imagine que ce doit être possible d’utiliser d’autres formats très différents.

Comme dit dans l’article, les gars qui font ça ont quand même une certaine connaissance de ce qu’ils font. A mon sens, mobiliser une expertise (et un temps ?) considérable, c’est quelque chose que l’on destine à de grandes entreprises.

Donc vous traduisez un article en français pour les non anglophones en le rendant incompréhensible tout en pensant qu’ils iraient à la source pour le comprendre subodorant que vous l’avez fait sciemment.
Effectivement c’est clair.

Personnellement, je n’ai pas trouvé l’article incompréhensible.

1 « J'aime »

J’ai hésité à te répondre mais vu que l’auteur se félicite de ton intervention je pourrais en déduire qu’il à écrit son article pour toi et non pas pour le profane ( et visiblement il y a au moins cinq personnes qui trouve mon intervention nécessaire).
Je pourrais également en conclure que l’auteur à sciemment escamoté le détail pour rendre son article alarmiste : un simple fichier audio pourrait endommager votre ordinateur.
Il fait du journalisme sensationnel au lieu d’informatif.

1 « J'aime »

Tu as écrit:

Je trouve que le terme incompréhensible n’est pas adapté et qu’il est trop fort. D’où mon commentaire sur mon avis perso.
Je pense avoir saisi l’idée derrière ton commentaire. Si tu avais dit que l’article manquait de précision, je n’aurai pas réagi.
Il m’est arrivé de lire un ou deux articles incompréhensibles: dans chaque cas, arrivé à la fin de l’article, je n’avais vraiment rien compris du tout.
Là, pour moi, nous ne sommes pas du tout dans un cas similaire.

Le titre est clair et factuel : des malwares utilisent un format audio pour contourner les antivirus. C’est un fait.

Comme je l’ai déjà signalé, le détail que j’aurais soi-disant escamoté est bien présent dans l’article, tout en soulignant que les professionnels ne sont pas sûrs du mode opératoire. Désormais, vous pouvez penser que je fais dans le sensationnel si vous voulez.

Vous faites preuve d’une mauvaise foi éhonté (ce qui n’est guère étonnant de la part d’un journaliste).
D’ailleurs je pense que vous n’aviez rien compris au fonctionnement de ce virus c’est pourquoi vous n’avez même pas pris soin d’aller consulter la source de votre source et cette dernière, tout comme vous ,escamote bien des informations.
Dans la source de votre source ,en introduction ils annoncent très clairement

Each WAV file was coupled with a loader component for decoding and executing malicious content secretly woven throughout the file’s audio data

=> chaque fichier WAVE est couplé à un exécutable pour décoder et exécuter le contenu malveillant secrètement mélangé dans les données du fichier audio .

Ensuite ils analysent en détail et en profondeur le fonctionnement des exécutables ,par exemple dans le paragraphe “Steganography PE Loader” (mais là il faut un certain niveau pour comprendre).

Question clarté et compréhension nous sommes très loin de votre

Ils ont été chargés à partir du disque, parfois en tant qu’argument CMD. Les acteurs de la menace ont probablement utilisé des techniques de spear-phishing (un hameçonnage ultra-personnalisé) pour obtenir un accès initial. Ensuite, ils ont probablement installé le shell inversé pour télécharger les autres exécutables et les fichiers WAV », suppose-t-il

Ce que je pense n’est pas important car je ne suis pas votre cible,mais tous ceux qui vous lisent et seraient intéressé de comprendre le fonctionnement doivent être assez déçu de ce que vous pensez d’eux après avoir lu cette conversation.

Explique-nous alors s’il te plaît. Si tu peux faire profiter tout le monde de tes connaissances vas-y. Perso, je suis preneur :slight_smile: .

merci pour cette clarification.
Mais n’est-il pas plus rassurant d’ajouter : “il faut toutefois que la victime télécharge le wav, ainsi que le programme, puis lance ce programme” ?

Car quand j’ai lu le titre, j’ai crû comprendre que, ouvrir un wav infecté avec mon programme favori de lecture mp3, je pouvais contaminer mon pc.