Les pirates du groupe Witchetty utilisent la stéganographie pour cacher leur programme malveillant, comme l’ont découvert les chercheurs en sécurité de la société Symantec Enterprise.
Une simple image peut-elle être dangereuse pour votre ordinateur ? Oui, répondent les chercheurs en sécurité de Symantec, une entreprise connue pour l’antivirus Norton et dont la partie entreprise appartient désormais à Broadcom. Dans un rapport publié sur le site web de Symantec Enterprise, ils dénoncent les agissements d’un groupe de hackers nommé Witchetty (aussi connu sous le nom de LookingFrog).
Ce groupe utilise la technique de la stéganographie, qui consiste à cacher des données dans une image. Ainsi, un logo de Windows semblable à celui ci-dessus sert à dissimuler un programme malveillant. Ce n’est pas la première fois que la stéganographie est employée à cet effet. En 2016, le malware Stegano se cachait dans les images de publicités en ligne. L’intérêt de cette technique est que le programme malveillant n’est pas détectable par un antivirus. Il peut donc être mis sur un serveur de stockage cloud tout à fait légitime, par exemple GitHub, au lieu d’un serveur contrôlé par les pirates.
Le malware fait office de porte dérobée pour les pirates (backdoor), ce qui leur permet d’exécuter différentes actions sur l’ordinateur de la victime, telles que parcourir les répertoires, exfiltrer des fichiers, tuer des processus, charger d’autres programmes et modifier la base de registre de Windows.
Du cyberespionnage contre l’Afrique et le Moyen Orient
Ouvrir l’image ne va pas infecter votre ordinateur, mais la technique sert au groupe Witchetty pour transporter la charge active (payload) des attaques qui ont eu lieu entre février et septembre 2022. Celles-ci ont utilisé les failles de sécurité ProxyShell et ProxyLogon des serveurs Microsoft Exchange, qui depuis ont été corrigées. Witchetty est un groupe de cyberespionnage, qui fait partie du groupe TA410 et possède des liens avec les hackers chinois APT10. Il s’est attaqué aux gouvernements de deux pays du Moyen-Orient et à la bourse d’un pays africain. Les groupes Witchetty et TA410 sont encore très actifs pour menacer les gouvernements et les organisations d’états. Le meilleur moyen de les contrer et d’appliquer immédiatement les correctifs pour combler les failles de sécurité, dès qu’ils sont disponibles.
Source :
Bleeping Computer