Caminho : Un Loader Brésilien Utilisant la Stéganographie LSB pour Distribuer des Malwares

Aurélien Fontevive

Mécanisme de Menace Innovant : Stéganographie dans les Images

Les cybercriminels explorent de nouvelles techniques pour contourner les systèmes de sécurité traditionnels. Le « Caminho », un loader sophistiqué d’origine brésilienne, représente un tournant dans la distribution de malwares en utilisant la stéganographie du bit de poids faible (LSB) pour cacher des payloads .NET dans des images innocentes. Selon une étude d’Arctic Wolf Labs, cette menace a été identifiée pour la première fois en mars 2025 et a évolué en une plateforme Loader-as-a-Service multifonctionnelle d’ici juin 2025.

Architecture Technique : De la Stéganographie à l’Exécution Fileless

Exploitation de la LSB dans les Fichiers Image

Le Caminho utilise une méthode avancée de stéganographie LSB (Least Significant Bit) dans des formats PNG/JPG pour encapsuler des payloads .NET. La technique fonctionne en modifiant le dernier bit des canaux RVB de chaque pixel, permettant ainsi de stocker discrètement des données binaires sans altérer l’apparence visible de l’image. Cette méthode permet aux attaquants de transformer des images apparemment innocentes en vecteurs de propagation de malware.

Chaîne de Livraison et Exécution Fileless

La chaîne d’attaque suit un parcours complexe :

  1. Phishing Ciblé : Les victimes reçoivent des piéces jointes de phishing à thème business contenant des scripts JavaScript/VBScript obfusqués
  2. Téléchargement du Loader : Ces scripts récupèrent un script PowerShell depuis des sources tierces
  3. Récupération de l’Image Stéganographiée : Le PowerShell télécharge discrètement une image depuis Archive.org
  4. Extraction et Chargement : La PowerShell extrait le payload .NET de l’image et le charge directement en mémoire
  5. Injection Processus : Le payload est injecté dans un processus légitime comme calc.exe
  6. Persistance : Création de tâches planifiées nommées “amandes” ou “amandines” pour assurer le maintien du contrôle

Infrastructure et Évasion : Services Légitimes et Hosting Spécialisé

Utilisation de Services Apparemment Légitimes

L’opération Caminho utilise astucieusement des infrastructures légitimes pour éviter les détections :

  • Stockage d’Images : Archive.org pour héberger les images stéganographiées
  • Services de Collage : Paste.ee et Pastefy.app pour le staging de scripts
  • C2 Sécurisé : Domaines comme “cestfinidns.vip” hébergés par AS214943 (Railnet LLC), réputé pour son hébergement “bullet-proof”

Atouts de Contournement

Les principales forces du Caminho résident dans :

MécanismeAvantageImpact
Images stéganographiéesÉvasion détection signatureFaux positifs élevés
Exécution filelessAucun écriture disqueLimitation forensic
Utilisation services légitimesTraffic natifRéduction alertes réseau
Architecture modulaireSupport multiples malwaresÉvolutivité attaque

Impact et Réactivité : Enjeux pour les Organisations

Victimes et Familles de Malware Observées

Selon les analyses, les pays ciblés incluent le Brésil, l’Afrique du Sud, l’Ukraine et la Pologne. Les payloads récupérés après le loader comprennent :

  • REMCOS RAT : RAT commercial populaire sur les marchés sombres
  • XWorm : Variantes polymorphes affectant les systèmes Windows
  • Katz Stealer : Stealer de données ciblant les informations de connexion

Exemple Concret : Image Universelle

L’image “universe-1733359315202-8750.jpg” a été utilisée dans plusieurs campagnes avec différents payloads, démontrant la modularité de la plateforme. Cette image apparaît simultanément dans des campagnes visant à la fois le Brésil et l’Afrique du Sud, illustrant l’expansion géographique de l’opération.

Mesures de Sécurité et Bonnes Pratiques

Détection et Réponse

Pour contrer ces attaques, les équipes SOC doivent :

  1. Surveiller les images téléchargées depuis Archive.org et autres services de stockage public
  2. Analyser les scripts PowerShell utilisant des fonctions Bitmap et GetPixel
  3. Vérifier les tâches planifiées anormales nommées “amandes” ou “amandines”
  4. Inspecter les processus injectés dans des applications légitimes comme calc.exe
  5. Évaluer l’intégrité des images dans les flux de travail internes

Normes de Sécurité à Mettre en Œuvre

Les recommandations d’ANSSI et les principes de l’ISO 27001 suggèrent :

  • Contrôle des sources de données : Validation des origines des fichiers téléchargés
  • Segmentation réseau : Isolement des postes à risque élevé
  • Audits réguliers : Vérification des tâches planifiées et des processus en mémoire
  • Formation aux phishing : Sensibilisation aux pièces jointes business-themed

Perspectives et Tendances

Le Caminho illustre la convergence entre attaques classiques (phishing) et techniques avancées (stéganographie). Selon les prévisions d’Arctic Wolf Labs, cette approche hybride sera probablement adoptée par d’autres groupes d’attaquants d’ici la fin de 2025. Les organisations françaises, particulièrement celles du secteur financier et de la défense, doivent anticiper ces évolutions et adapter leurs stratégies de cybersécurité.

Conclusion : Vigilance Continuelle contre les Menaces Émergentes

Le Caminho représente une évolution significative dans le paysage des menaces cyber. Sa capacité à combiner stéganographie, exécution fileless et utilisation d’infrastructures légitimes rend sa détection particulièrement complexe. Les entreprises doivent adopter une posture proactive, combinant technologies modernes et bonnes pratiques réglementaires (RGPD, ANSSI). La collaboration entre analystes de sécurité, fournisseurs de solutions et autorités publiques restera essentielle pour contenir cette menace avant qu’elle ne s’étende davantage vers des marchés plus larges.