Stegano : un malware dissimulé dans les pixels des campagnes publicitaires

Stegano n’est pas un malware comme les autres. Il est effectivement capable de s’appuyer sur de fausses campagnes publicitaires pour toucher la cible la plus large possible. Le pire reste à venir, car il est même capable de se cacher dans les pixels de leurs images afin de ne pas se faire remarquer.

Repéré par les chercheurs en sécurité d’ESET, ce malware est sans doute un des plus malins du marché. Discret, il peut effectivement se dissimuler dans les pixels d’une image pour opérer sans attirer l’attention des internautes.

Stegano

Un nouveau malware a été détecté par ESET et il est plutôt violent.

Le plus problématique, dans l’histoire, c’est qu’il est aussi très difficile à repérer, même pour les spécialistes.

Stegano, un malware extrêmement discret

Si l’on en croit ESET, alors certaines publicités vérolées auraient même été diffusées sur des sites d’actualités très populaires et elles auraient ainsi touché plusieurs centaines de milliers d’internautes.

Ce n’est pas tout, car Stegano n’a pas besoin d’une quelconque action de la part de l’internaute pour opérer. Selon Robert Lipovsky, un des chercheurs responsables de la découverte, l’attaque serait totalement automatisée et il suffirait ainsi que la publicité s’affiche chez les internautes pour lancer l’activation du malware.

Ce dernier exploiterait ensuite des failles propres à Internet Explorer et à Flash Player pour corrompre le système de l’utilisateur et installer divers outils comme des portes dérobées ou même des logiciels espions. Pire, dans certains cas, les spécialistes ont même repéré des Chevaux de Troie capables de dérober des données bancaires.

Dans les faits, l’attaque se déroule en plusieurs étapes. Lorsque la publicité s’affiche, elle commence ainsi par exécuter un code JavaScript pour récupérer des informations en lien avec l’ordinateur de la cible et sa configuration. Si cette dernière présente suffisamment de failles, la publicité affichée sera remplacée par un clone vérolé, avec un visuel identique.

Tout est dans l’image

Identique, ou presque, car ce dernier s’accompagnera d’un message secret, laissé à l’intention du code JavaScript. En faisant appel à des effets de transparence, ce dernier pourra le « lire » et le reconstituer dans la foulée pour générer un nouveau script capable cette fois d’exploiter une faille présente dans Internet Explorer.

Grâce à cette vulnérabilité, Stegano pourra notamment déterminer si un antivirus est installé ou si l’utilisateur utilise un bac à sable ou des solutions réseau spécialisées.

Si c’est le cas, alors la procédure sera automatiquement interrompue.

En revanche, si la voie est dégagée, le programme va créer un iframe et télécharger un fichier exploitant cette fois des failles propres au lecteur Flash. Après une nouvelle vérification, le script téléchargera de nouveaux programmes malveillants définis au préalable par les attaquants. Comme un logiciel espion ou un Cheval de Troie.

Comme vous pouvez le constater, Stegano met la barre très haut. Pour l’heure, le moyen le plus efficace pour se protéger est de ne pas utiliser Internet Explorer et d’installer un antivirus sur la machine. Si le programme le détecte, il ne cherchera effectivement pas à l’attaquer.

Mots-clés malwaresécurité