Comment la vidéo est devenue un vecteur dangereux pour les attaques de logiciels malveillants

Comment la vidéo est devenue un vecteur dangereux pour les attaques de logiciels malveillants

La plupart des employés sont au courant des attaques de logiciels malveillants. Beaucoup savent probablement que vous ne devez jamais ouvrir un fichier exécutable à partir d’un inconnu ou installer une clé USB trouvée dans le parking, par exemple. Mais les vidéos, ou les liens vers des vidéos, peuvent contenir des logiciels malveillants, tout comme un exécutable ou une clé USB. Vos employés le savent-ils aussi? Et même s’ils le savent, seront-ils dupés à chercher des vidéos malveillantes?

C’est pourquoi il est temps de se concentrer sur les logiciels malveillants vidéo.

La vidéo est l’appât idéal pour l’ingénierie sociale

L’attrait de la vidéo pourrait être l’astuce d’ingénierie sociale parfaite pour les attaques de logiciels malveillants. Les tendances récentes en matière de communications interpersonnelles et de médias sociaux ont conditionné le public à ouvrir obligatoirement de nombreuses vidéos chaque jour. Facebook et Instagram ont été rééquipés de fonctionnalités vidéo virales et addictives afin de suivre l’évolution des technologies telles que Snapchat et TikTok. YouTube a toujours mis l’accent sur les vidéos captivantes, et les applications de messagerie contiennent également de plus en plus de vidéos.

En d’autres termes, la vidéo est devenue la «drogue» numérique de choix en matière d’évasion, de soulagement de l’ennui et de diffusion d’informations. En prime pour les cybercriminels, les utilisateurs peuvent penser que les fichiers vidéo sont inoffensifs, ce qui signifie que même les utilisateurs avertis en matière de sécurité qui éviteraient autrement de cliquer sur des liens suspects risquent de s’ouvrir et de lire des vidéos.

L’habitude (ou la dépendance) vis-à-vis de la vidéo dans notre culture a ouvert la voie aux logiciels malveillants vidéo – des codes malveillants intégrés aux fichiers vidéo. Les malwares vidéo font partie d’une tendance plus large vers une furtivité plus efficace dans la diffusion de malwares. C’est aussi le dernier exemple, probablement le plus intéressant, de stéganographie maligne: l’inclusion d’un secret dans un autre support. Lorsque le support est un fichier exécutable, il est appelé stegware.

Les logiciels malveillants sont intégrés depuis des années dans des formats de fichiers d’images fixes, tels que les formats JPG, PNG et BMP. Maintenant, il semble que les logiciels malveillants vidéo sont en train de prendre un moment.

Dernières nouvelles du front vidéo dangereux

En raison de l’attrait irrésistible des vidéos, les acteurs de la menace utilisent la promesse de la vidéo depuis de nombreuses années. Un moyen courant d’amener les internautes à cliquer sur un lien malveillant consiste à demander: «Êtes-vous dans cette vidéo?” lien, juste pour être sûr. Cette tactique est courante sur les principales plates-formes de messagerie, où les attaquants peuvent donner l’impression que la vidéo ou le lien a été envoyé par un ami ou un collègue.

Il existe des versions plus sophistiquées de cette technique. Par exemple, même en 2014, un programme malveillant appelé Trojan.FakeFlash.A. Apparu pour placer une photo d’un “ami” Facebook sur les flux Facebook des victimes avec un texte qui impliquait de cliquer serait lancer une vidéo très personnelle de cet ami, selon USA Today. Le malware a infecté environ 2 millions de systèmes dans le monde.

Aucune de ces attaques de logiciels malveillants ne concerne de véritables vidéos – la simple promesse de vidéos incite les utilisateurs à cliquer sur des liens ou à ouvrir des fichiers. D’autres vulnérabilités et attaques récentes ont impliqué des vidéos réelles, dans le cadre de l’évolution continue de la vidéo en tant que méthode de diffusion de programmes malveillants.

Un exemple récent observé par Trend Micro impliquait l’incorporation de programmes malveillants dans un document Word contenant une vidéo. C’est un moyen relativement facile d’insérer un logiciel malveillant, car il pourrait simplement être ajouté à un fichier XML dans le dossier Word. Ensuite, le document pourrait être modifié pour que le code malveillant soit exécuté lorsque la victime l’ouvre et clique sur la vidéo. En juillet, Symantec a découvert un autre vecteur d’attaque appelé transfert de fichiers multimédias qui permettait aux attaquants de modifier des vidéos et des images à la fois sur WhatsApp et Telegram. Heureusement, l’exécution du code n’a pas été activée.

Une autre vulnérabilité découverte dans Android offre un aperçu de ce qui est possible dans la distribution de logiciels malveillants vidéo. La vulnérabilité des versions 7 à 9 d’Android (Nougat, Oreo et Pie) pourrait permettre aux cybercriminels d’exécuter du code à distance via des logiciels malveillants intégrés à la vidéo. La vidéo devrait être envoyée directement – par exemple sous forme de pièce jointe à un courrier électronique – car des services vidéo tels que YouTube réencodent les vidéos téléchargées, modifiant ainsi le code malveillant et l’empêchant de fonctionner.

Depuis, Google a publié une mise à jour de sécurité qui corrige la faille. Par conséquent, les appareils dotés de la mise à jour sont sécurisés. Ceux qui ne disposent pas du correctif (théoriquement, plus d’un milliard d’appareils) sont toutefois toujours exposés au risque – d’autant plus que le correctif annonçait inévitablement la vulnérabilité des acteurs de la menace. Bien qu’aucune exploitation de cette vulnérabilité n’ait été rapportée, cela suggère des possibilités auparavant inattendues dans le domaine des logiciels malveillants vidéo.

En suivant les tendances – confort croissant vis-à-vis de la vidéo, techniques sophistiquées de furtivité et ciblage croissant d’appareils mobiles – nous pouvons assister à l’exploration agressive des possibilités entourant la contrebande de logiciels malveillants dans les vidéos. Il est maintenant temps d’obtenir un contre-stéganographie.

Comment répondre à la menace des attaques de logiciels malveillants vidéo

Les menaces les plus effrayantes sont celles dont personne n’a entendu parler ou qui n’attend. Mais les événements récents montrent que les logiciels malveillants vidéo constituent un domaine d’intérêt intense pour l’ingénierie sociale des logiciels malveillants (et désormais également pour l’ingénierie logicielle). Voici quelques étapes pour préparer votre entreprise à l’imprévu:

  • Créez une posture de défense unifiée, c’est-à-dire décomposez ces silos de cybersécurité.
  • Placez une solution de gestion unifiée des points de terminaison unifiés (UEM) au cœur de vos défenses.
  • Utilisez les informations sur les menaces pour rester au fait des attaques et des vulnérabilités steganographiques récentes.
  • Empêchez les documents Word contenant des vidéos intégrées d’entrer dans les réseaux d’entreprise.
  • Comme toujours, restez à jour sur les correctifs et les mises à jour pour tous les systèmes et périphériques, en particulier les périphériques mobiles.

Vos utilisateurs aiment les vidéos. Et à cause de la nature fascinante, viscérale et virale des vidéos, elles vont les ouvrir. Les acteurs de la menace le savent et travaillent toujours sur de nouvelles méthodes pour masquer les codes malveillants dans les vidéos. L’équipe de sécurité de votre entreprise est-elle prête à se défendre?

Qu'est-ce que SIEM et comment améliore-t-il la détection des menaces? Que sont les menaces persistantes avancées et comment les trouver?