Le malware Caminho: Comment des images innocentes deviennent des vecteurs d'attaque sophistiqués

Le malware Caminho: Comment des images innocentes deviennent des vecteurs d’attaque sophistiqués

Une nouvelle menace informatique baptisée « Caminho » (signifiant « chemin » en portugais) est apparue récemment comme une plateforme Loader-as-a-Service (LaaS) hautement sophistiquée. Ce malware utilise la stéganographie LSB (Least Significant Bit) pour dissimuler des charges utiles .NET malveillantes au sein d’images apparemment inoffensives. Selon les recherches d’Arctic Wolf Labs, cette opération a été observée pour la première fois en mars 2025 et a considérablement évolué d’ici juin, s’étendant d’Amérique du Sud vers l’Afrique et l’Europe de l’Est. Caminho représente une avancée notable dans les techniques d’évasion des défenses traditionnelles, combinant des méthodes éprouvées avec des technologies d’obfuscation de pointe.

Origines et caractéristiques techniques du Caminho loader

Architecture et origine brésilienne

L’enquête a révélé 71 variants d’échantillons partageant la même architecture de base et présentant des artefacts en langue portugaise dans le code — de solides indicateurs d’une origine brésilienne. Les environnements victimes incluaient le Brésil, l’Afrique du Sud, l’Ukraine et la Pologne, suggérant que l’opération a mûri en un service multi-régional plutôt qu’en un acteur unique pour une campagne spécifique.

Les victimes étaient ciblées via des pièces jointes de spear-phishing utilisant des thèmes professionnels dans le cadre d’ingénierie sociale. La première phase déployait un JavaScript ou VBScript obfusqué, qui récupérait un script PowerShell qui téléchargeait à son tour une image stéganographique à partir de plateformes légitimes comme archive.org.

« L’investigation a permis de constater que les attaquants ont soigneusement construit une infrastructure qui utilise des services légitimes pour héberger leur contenu malveillant, rendant la détection extrêmement difficile pour les solutions traditionnelles. »

Mécanismes de livraison et de persistance

Le processus de livraison suit une chaîne bien définie. D’abord, les attaquants envoient un e-mail de phishing contenant un script obfusqué. Ce script exécute un PowerShell qui télécharge une image contenant le loader Caminho. Le loader est ensuite extrait et exécuté en mémoire, injecté dans un processus légitime comme calc.exe. La persistance est assurée via des tâches planifiées nommées « amandes » ou « amandines », permettant au loader de survivre aux redémarrages.

Dans la pratique, les analystes ont observé que le script PowerShell charge l’image extraite en tant qu’objet Bitmap et parcourt chaque pixel pour extraire les données binaires dissimulées dans les canaux de couleur. Cette technique permet de contourner les analyses basées sur les signatures et les détections de fichiers.

La stéganographie LSB: une technique d’évasion avancée

Principe de la stéganographie LSB

Caminho exploite la stéganographie LSB au sein de fichiers image comme les JPG ou PNG pour masquer sa charge utile. La stéganographie LSB consiste à modifier les bits de poids le moins significatif des valeurs de pixels d’une image. Ces modifications sont invisibles à l’œil humain mais permettent de stocker de grandes quantités de données de manière discrète. Dans le cas de Caminho, les valeurs des canaux de couleur de chaque pixel sont utilisées pour encoder le binaire de la charge utile .NET.

Cette technique offre plusieurs avantages aux attaquants:

• Les images modifiées apparaissent visuellement identiques aux originaux
• Les modifications sont extrêmement difficiles à détecter avec des méthodes standard
• Le volume de données pouvant être caché est substantiel

Exécution sans fichier (fileless execution)

Une fois le loader extrait de l’image, Caminho l’exécute directement en mémoire sans jamais l’écrire sur le disque dur. Cette exécution sans fichier (fileless execution) est conçue pour contourner les solutions de sécurité traditionnelles qui se concentrent sur l’analyse des fichiers stockés sur les disques. En injectant le loader dans un processus légitime comme calc.exe, les attaquants rendent encore plus difficile la détection et l’analyse post-incident.

Les chercheurs ont décrit le processus technique comme suit : « [le script] charge l’extrait BMP en tant qu’objet Bitmap et parcourt chaque pixel… ces valeurs de canaux de couleur codent les données binaires dissimulées. »

Pourquoi cette approche est-elle particulièrement efficace ?

• Elle réduit considérablement la surface d’attaque visible pour les solutions de sécurité
• Elle évite la création de fichiers sur le disque, ce qui complique l’analyse forensique
• Elle exploite des fonctionnalités natives du système d’exploitation, rendant le comportement moins suspect

Infrastructure et diversité des charges utiles

Plateforme Loader-as-a-Service

La chaîne de livraison de Caminho est modulaire, ce qui reflète un modèle d’affaire Loader-as-a-Service (LaaS). Après l’exécution du loader, celui-ci récupère la charge utile finale via des URL passées en arguments. Les charges utiles déjà observées incluent le trojan d’accès distant commercial REMCOS RAT, XWorm et le stealer d’identifiants Katz.

« En réutilisant des images stéganographiques et une infrastructure C2 (Command and Control) à travers différentes campagnes, l’opération imite un modèle d’affaire LaaS. Un exemple concret : le fichier image ‘universe-1733359315202-8750.jpg’ est apparu dans plusieurs campagnes avec différentes charges utiles. »

L’infrastructure est soigneusement conçue pour maximiser l’évasion et la persistance. Les attaquants exploitent des services légitimes comme Archive.org pour héberger les images stéganographiques et des services de type paste comme paste.ee ou pastefy.app pour le stockage des scripts, mélangeant le contenu malveillant avec un trafic banal. Pour le contrôle et la commande, la campagne utilise des domaines comme « cestfinidns.vip » hébergés par AS214943 (Railnet LLC), connu pour son hébergement à épreuve de balles.

Exemples de malwares livrés

Les charges utiles livrées par Caminho sont variées et ciblent différentes fonctions système :

Cette diversité des charges utiles permet aux attaquants d’adapter leurs campagnes en fonction des objectifs spécifiques et des vulnérabilités détectées dans les cibles. Dans la pratique, les chercheurs ont observé que les mêmes images stéganographiques étaient réutilisées avec différentes charges utiles selon les cibles spécifiques.

Détection et contre-mesures: Protéger son organisation contre Caminho

Indicateurs de compromission

Caminho pose des défis importants aux défenseurs en raison de plusieurs facteurs :

• Les images stéganographiques évitent la détection basée sur les signatures et semblent inoffensives
• L’exécution sans fichier évite d’écrire les charges utiles sur le disque, limitant la traçabilité forensique
• L’architecture de service modulaire permet de déployer plusieurs familles de malwares à grande échelle
• L’utilisation d’hébergement légitime et de stockage réduit les indicateurs réseau suspects
• Les artefacts en langue portugaise et le ciblage pendant les heures de travail brésiliennes suggèrent une origine régionale, mais l’infrastructure supporte des opérations mondiales

Dans certains cas spécifiques, les chercheurs ont identifié des comportements distinctifs qui peuvent aider à détecter Caminho :

• La création de tâches planifiées avec des noms spécifiques comme « amandes » ou « amandines »
• L’utilisation de PowerShell pour extraire des données à partir d’images
• L’injection de processus dans des applications système comme calc.exe

Stratégies de défense

Face à cette menace évolutive, les organisations doivent adopter une approche multi-couche. Voici les mesures recommandées pour se protéger contre Caminho :

1. Formation et sensibilisation : Former les utilisateurs à reconnaître les campagnes de phishing et à éviter d’ouvrir des pièces jointes suspectes, même si elles semblent inoffensives.

2. Contrôle des applications : Mettre en œuvre des solutions de contrôle des applications qui peuvent détecter et bloquer l’exécution de scripts PowerShell non autorisés.

3. Analyse des images : Utiliser des outils capables d’analyser les fichiers image à la recherche d’indicateurs de stéganographie, bien que cela reste techniquement complexe.

4. Surveillance comportementale : Mettre en place une surveillance avancée comportementale pour détecter les activités inhabituelles comme l’exécution de scripts PowerShell suivie de modifications de processus système.

5. Segmentation du réseau : Implémenter une segmentation réseau stricte pour limiter la propagation potentielle en cas d’infection.

6. Mises à jour régulières : Maintenir tous les systèmes et applications à jour pour réduire les vulnérabilités qui pourraient être exploitées.

Conclusion: La cybersérutité à l’ère des menaces évolutives

Caminho illustre comment les loaders modernes combinent des techniques d’attaque éprouvées — comme le dépôt de scripts via le phishing, l’injection de processus et les tâches de fond endormies — avec des techniques d’évasion avancées via la stéganographie et des architectures de service. Alors que la campagne étend son géographie et le support de ses charges utiles, les organisations dans les régions ciblées — notamment l’Amérique du Sud, l’Afrique et l’Europe de l’Est — doivent supposer une exposition potentielle, chercher activement et valider l’intégrité des fichiers image, les origines des téléchargements et les arbres de processus.

Cette menace met en lumière l’importance croissante des approches de défense basées sur le comportement plutôt que sur les signatures traditionnelles. À mesure que les attaquants continuent d’innover dans leurs techniques de dissimulation et d’exécution, les professionnels de la sécurité doivent eux aussi évoluer pour anticiper et contrer ces menaces émergentes.

En adoptant une stratégie de défense proactive et en investissant dans des technologies de détection avancées, les organisations peuvent se prémunir contre des menaces comme Caminho et maintenir leur résilience face aux cybermenaces en constante évolution.