ImageGate : du code malveillant inséré dans les images pour infecter les utilisateurs sur les réseaux sociaux
Le ransomware Locky l'utiliserait aussi

Le , par Olivier Famien

43PARTAGES

5  0 
Pour réussir à dissimuler leurs attaques, les acteurs malveillants sont toujours à l’affût de nouvelles failles à exploiter. Depuis quelques jours, l’entreprise de sécurité Check Point a découvert un nouveau vecteur d’infection largement exploité sur la toile. Ce nouveau mode de propagation de logiciels malveillants a été baptisé ImageGate en raison des images utilisées pour infecter les appareils des utilisateurs.

Selon les découvertes faites par les chercheurs de CHECK Point, les pirates ont trouvé le moyen d’insérer du code malveillant dans les images. Ces derniers se servent de cette technique pour infecter les utilisateurs sur Facebook et LinkedIn. Pour y parvenir, les hackers utilisent une mauvaise configuration sur ces réseaux sociaux pour envoyer une image vérolée aux utilisateurs. Dès que ceux-ci téléchargent et cliquent sur l’image pour l’ouvrir, le malware se répand automatiquement sur le système de la victime.

Parallèlement à la découverte de ce vecteur d’attaques, les acteurs du monde de la sécurité ont également noté au cours de la semaine dernière une expansion massive du ransomware Locky à travers le réseau social Facebook. Pour Check Point, ce serait cette technique qui aurait été utilisée pour diffuser massivement ce ransomware.

Pour ce qui concerne Locky, il faut savoir que le ransomware a été découvert au début de l’année, et plus précisément en février. Il était diffusé en général à travers un document Word joint à un email avec pour objet quelque chose de ce genre : « ;ATTN: Invoice J-98223146 ;». Une fois que l’utilisateur clique sur la pièce jointe, le document s’ouvre avec un texte illisible. Il est demandé en tête du document d’activer les macros si l’encodage des données est incorrect. Lorsque l’utilisateur active les modifications, le ransomware télécharge et exécute un module à partir d’un serveur distant.

L’exécutable téléchargé est en fait Locky qui se chargera de chiffrer l’ensemble des fichiers de la victime qui sont sur ses différents lecteurs et les partages réseau non mappés. Les fichiers qui sont ciblés par Locky sont ceux avec l’extension suivante : .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat.

Pour chiffrer ces fichiers, Locky utilise un chiffrement AES (Advanced Encryption Standard, ce qui donne en français standard de chiffrement avancé). En chiffrant les fichiers, il renomme les fichiers par le format [unique_id][identifier].locky, ce qui donne quelque comme ceci : F67091F1D24A922B1A7FC27E19A9D9BC.locky. Par ailleurs, pendant le chiffrement Locky procède à la suppression des copies Shadow Volume afin que l’utilisateur ne puisse pas restaurer ses fichiers.

Ensuite, dans chaque dossier du bureau où se trouve un fichier chiffré, Locky crée une note appelée _Locky_recover_instructions.txt afin d’informer l’utilisateur sur ce qui vient de se passer et donne des instructions à suivre pour déchiffrer les données. En outre, il est demandé à la victime de se rendre sur une adresse Tor (6dtxgqam4crv6rr6.onion), où il est décrit un ensemble d’étapes à suivre pour payer la rançon de 0,5 bitcoin exigée afin de pouvoir déchiffrer les données.

Comme on l’a noté dès sa sortie, Locky était diffusé à travers les pièces jointes des emails. Mais pour Check Point, la résurgence de la propagation de Locky à partir des réseaux sociaux ces derniers jours est fortement liée à l’exploitation de la technique ImageGate. Dans un classement fait par Herjavec Group en septembre dernier sur les logiciels malveillants les plus répandus, Locky a été classé en troisième position.


Check Point explique que « ;comme plus de personnes passent du temps sur les sites de réseaux sociaux, les pirates ont tourné leur attention pour trouver un chemin dans ces plates-formes. Les cybercriminels comprennent que ces sites sont généralement « sur listes blanches », pour cette raison, ils cherchent continuellement de nouvelles techniques à utiliser sur les médias sociaux en tant qu’hôtes pour leurs activités malveillantes ;».

Afin de se prémunir contre les malwares diffusés par le moyen d’ImageGate, Check Point recommande de ne pas ouvrir un fichier sur lequel on a cliqué et qui se télécharge directement, car en général les médias sociaux affichent le contenu des images sur lesquelles on a cliqué avant de les télécharger. Par ailleurs, Check Point conseille de ne pas ouvrir les fichiers images avec une extension inhabituelle comme SVG, JS ou HTA.

Source : Blog Check Point

Et vous ?

Que pensez-vous de cette technique ;?

Voir aussi

Stampado : un ransomware à 39 dollars capable de s'autopropager rapidement sur le réseau et cible plus de 12 000 extensions de fichiers

La Rubrique sécurité, Forum sécurité, Cours et turoriels sécurtité, FAQs Sécurtié

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Andarus
Membre averti https://www.developpez.com
Le 28/11/2016 à 8:49
Dans ce cas la faille doit ce trouver dans le lecteur d'image au final?
Avatar de SkyZoThreaD
Membre expérimenté https://www.developpez.com
Le 28/11/2016 à 12:50
Citation Envoyé par Andarus Voir le message
Dans ce cas la faille doit ce trouver dans le lecteur d'image au final?
Très bonne question. C'est pas clair dans la news....
A priori, l'attaquant upload un jpeg qui est réceptionné en tant que hta par la victime.
Donc la faille exploitée me semble être sur les serveurs facebouse.
Une raison de plus pour ne pas perdre mon temps sur ce site...

 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web