Caminho : Un Loader Brésilien qui Transforme les Images en Chaîne de Livraison de Malware

Orphée Grandsable

L’ÉMERGENCE D’UNE MENACE INNOVANTE

Selon les analyses récentes d’Arctic Wolf Labs, le Caminho (mots portugais signifiant « chemin ») représente une évolution majeure dans les chaînes d’attaque modernes. Ce Loader-as-a-Service sophistiqué utilise la steganographie du bit de poids faible (LSB) pour dissimuler des charges utiles .NET malveillantes à l’intérieur d’images innocentes. Découvert pour la première fois en mars 2025, cette menace a connu une expansion significative d’ici juin 2025, passant d’une opération brésilienne à un réseau multi-régional touchant l’Afrique et l’Europe de l’Est. Selon les données du Laboratoire Arctic Wolf, 71 variantes distinctes ont été identifiées partageant la même architecture centrale et des artefacts en portugais dans le code source. Les environnements victimes incluent le Brésil, l’Afrique du Sud, l’Ukraine et la Pologne, indiquant une maturation vers un service régional plutôt qu’une campagne isolée.

LA STEGANOGRAPHIE LSB : UNE TECHNIQUE D’ÉVASION AVANCÉE

Mécanisme de masquage technique

La méthode centrale du Caminho repose sur la steganographie LSB appliquée aux fichiers image JPG ou PNG. Cette technique consiste à modifier le dernier bit de chaque canal de couleur (rouge, vert, bleu) d’un pixel pour coder des données binaires cachées. Les chercheurs décrivent le processus technique : « Le script charge le BMP extrait en tant qu’objet Bitmap et itère à travers chaque pixel… ces valeurs de canal de couleur codent les données binaires cachées. » Cette approche permet de stocker des charges utiles complètes sans altérer apparemment l’apparence de l’image, transformant un simple fichier visuel en contenant de code exécutable.

Avantage technique par rapport aux détections traditionnelles

La steganographie LSB offre plusieurs avantages stratégiques : premier avantage, les fichiers stéganographiques échappent aux détections basées sur les signatures antivirus traditionnelles. Deuxièmement, le modèle d’exécution fileless (sans fichier) évite l’écriture des payloads sur le disque dur, limitant considérablement la traçabilité forensic. Le PowerShell extrait le chargeur .NET de l’image, le charge directement en mémoire, puis l’injecte dans un processus Windows légitime tel que calc.exe, émulant ainsi un comportement normal d’utilisateur.

L’INFRASTRUCTURE DE LIVRAISON : MODULARITÉ ET SERVICES LÉGITIMES

Chaîne d’attaque multi-étapes

La chaîne d’attaque du Caminho suit un modèle modulaire complexe : la première étape utilise des pièces jointes de phishing ciblées avec un ingénierie sociale axée sur les entreprises. Ces pièces contiennent du JavaScript ou du VBScript obscurci qui récupèrent un script PowerShell. Ce script télécharge ensuite une image stéganographique à partir de plateformes légitimes comme archive.org. Une fois l’image récupérée, le script extrait le chargeur .NET et l’exécute en mémoire.

Utilisation stratégique de services publics

Le réseau d’infrastructure du Caminho utilise astucieusement des services publics pour dissimuler son activité : plateformes d’hébergement d’images légitimes comme Archive.org pour stocker les images stéganographiques, des services de collage comme paste.ee ou pastefy.app pour le staging des scripts, et des domaines d’hébergement pour bullet-proof hosting comme « cestfinidns.vip » appartenant à AS214943 (Railnet LLC). Cette approche intègre les activités malveillantes dans le trafic légitime, réduisant les indicateurs rouges basés sur le réseau.

VARIATIONS ET FAMILLES DE MALWARE

Diversité des charges utiles

Après l’exécution initiale du chargeur, le Caminho récupère la charge utile finale via des URLs passées en argument. Les familles de malware observées incluent :

  • Remote Access Trojans (RAT) commerciaux comme REMCOS RAT
  • XWorm
  • Stealers de données comme Katz Stealer

Selon les analyses d’Arctic Wolf Labs, l’image « universe-1733359315202-8750.jpg » est apparue dans plusieurs campagnes avec différentes charges utiles, illustrant le modèle de service Loader-as-a-Service.

Comportements persistants

Le chargeur utilise des tâches planifiées nommées « amandes » ou « amandines » pour assurer la persistance même après un redémarrage. Ces noms apparemment innocents servent de couverture pour les activités malveillantes, rendant la détection plus difficile.

LES DÉFIS POUR LES DÉFENSEURS

Limites des solutions traditionnelles

Le Caminho pose plusieurs défis techniques aux équipes de défense :

  • Les images stéganographiques échappent aux détections basées sur les signatures
  • L’exécution sans fichier évite l’écriture sur disque
  • L’architecture modulaire permet un déploiement à grande échelle de multiples familles de malware
  • L’utilisation de services légitimes réduit les indicateurs d’activité réseau
  • Les artefacts en portugais et la cible horaire pendant les heures d’affaires brésiliennes suggèrent une origine régionale, mais l’infrastructure soutient des opérations mondiales

Pays ciblés et extension géographique

Les victimes identifiées montrent une extension inquiétante vers plusieurs régions :

RégionPays Ciblés
Amérique du SudBrésil
AfriqueAfrique du Sud
Europe de l’EstUkraine, Pologne
Europe du NordInconnu (inférence)

Selon les données d’Arctic Wolf, le Caminho est un exemple de menace hybride combinant des techniques anciennes (chute de scripts par phishing, injection de processus, tâches dormantes) avec des échappatoires avancées via la stéganographie et des architectures de service.

MESURES DE PRÉVENTION ET RECOMMANDATIONS

Validation de l’intégrité des images

Les organisations doivent valider rigoureusement l’intégrité des fichiers image provenant d’origines externes en utilisant des outils de vérification de checksums (SHA-256) et des analyses statiques avancées. Les images téléchargées ou reçues via des canaux non fiables doivent être traitées avec un scanner dédié à la détection de stéganographie avant toute ouverture.

Chasse proactive des menaces

La chasse proactive implique la surveillance des processus Windows suspects injectant des codes dans des processus légitimes comme calc.exe. Les équipes de sécurité doivent utiliser des outils de détection de comportements anomales pour identifier les exécutions de PowerShell extrayant des BMP et itérant sur les pixels des images.

Formation et vigilance

Une formation continue sur les techniques de phishing ciblées et les signes d’ingénierie sociale est essentielle. Les employés doivent être sensibilisés à vérifier les origines des pièces jointes suspects et à signaler immédiatement les contenus inhabituels.

CONCLUSION : ADAPTER LES DÉFENSES FACE À L’ÉVOLUTION CYBERNÉTICHE

Le Caminho illustre comment les loaders modernes combinent des techniques anciennes avec des échappatoires avancées pour évoluer face aux défenses. Comme le souligne Arctic Wolf Labs, cette menace représente un tournant dans l’approche des attaquants : des chaînes multi-étapes modulaires, des infrastructures dissimulées dans des services légitimes et des techniques de stéganographie sophistiquées. Pour les organisations dans les régions ciblées - particulièrement l’Amérique du Sud, l’Afrique et l’Europe de l’Est - l’hypothèse d’exposition doit être assumée, la chasse proactive doit être validée et l’intégrité des images, des origines de téléchargement et des arbres de processus doit être rigoureusement vérifiée. En France, les entreprises doivent renforcer leurs mécanismes de détection des comportements atypiques et intégrer des outils spéculatifs capables d’analyser les images stéganographiques, conformément aux bonnes pratiques ANSSI et aux recommandations ISO 27001. Le Caminho rappelle que la cybersécurité demande une vigilance constante et une adaptation proactive face à l’évolution des menaces.