Comment les pirates empoisonnent les images PNG avec des charges utiles de logiciels malveillants ?
On dirait que tous les deux jours, il y a un reportage qui vous dit d'avoir peur de telle ou telle chose banale, non ? Eh bien, détendez-vous, car ceci n'est pas exactement une de ces histoires. Personne n'infecte votre ordinateur lorsque vous visualisez une image PNG. Cependant, le code exécutable caché dans les images PNG est un élément clé de cette histoire.
C'est ESET qui a repéré cette technique, qui a été utilisée pour attaquer des sociétés d'énergie en Asie centrale et du Sud-Est. Pour être clair, elle a été utilisée sur des machines qui étaient déjà compromises, de sorte qu'un exploit différent a été utilisé pour accéder aux systèmes et les infecter initialement.
(Un exemple de ce à quoi ressemble l'une des images infectées. Normal, non ?)
Cependant, une fois qu'ils ont été infectés par le malware CRLoader, les attaquants ont pu charger un autre composant, connu sous le nom de PNGLoader pour des raisons évidentes. PNGLoader est capable d'extraire les données exécutables intégrées dans les bits les moins significatifs des images PNG. Pour faire simple, les images PNG sont sans perte et peuvent avoir quatre canaux : rouge, vert, bleu et alpha. Chaque canal contient plusieurs bits d'informations de couleur pour chaque pixel.
(Image illustrant le codage du bit le moins significatif)
En utilisant les bits les moins significatifs qui ont le plus petit impact sur l'apparence de l'image, vous pouvez leur donner la valeur que vous voulez sans modifier la légitimité apparente de l'image. Cette capacité vous permet d'encoder toutes les données binaires que vous voulez dans une image PNG qui, à toutes fins utiles, reste une image tout à fait légitime, même après une simple analyse.
(Les bits les moins significatifs sont extraits. Ça ressemble à du bruit, non ? Vous avez déjà écouté la piste 1 d'un CD ?)
L'intérêt d'une telle opération est de cacher votre application aux scanners qui, d'ordinaire, ne vérifient pas la présence de données exécutables dans les images. En général, les données d'image sont volumineuses par rapport aux données exécutables, de sorte que les scanners ignorent souvent ces fichiers, à supposer qu'ils sachent comment trouver les données codées.
Dans l'événement spécifique relaté par ESET et Avast, des données exécutables encodées dans des images PNG ont permis aux attaquants d'installer le malware DropBoxControl et de transférer des fichiers au format crypté entre les systèmes infectés et DropBox.
Comme nous l'avons mentionné, ces images semblent tout à fait légitimes à tous les égards ; bien que le codage par "bit le moins significatif" soit bien connu et facile à trouver par analyse statistique, vous devez le chercher pour le trouver. Heureusement, il n'est pas possible d'attaquer un système uniquement avec ces images, il n'y a donc pas de raison particulière de s'alarmer - pour l'instant.
HOTHARDWARE
