Caminho : Un Loader Brésilien Qui Transforme les Images en Chaînes de Livraison Malveillantes

Hippolyte Valdegré

Découverte d’un Loader Sophistiqué : Le Caminho Posant Menace sur l’Environnement Numérique Mondial

En mars 2025, les équipes de recherche de Arctic Wolf Labs ont identifié un loader sophistiqué nommé « Caminho » (mots portugais signifiant « chemin »), marquant une évolution significative dans les techniques de distribution de logiciels malveillants. Ce loader, développé par des acteurs criminels brésiliens, utilise une méthode avancée de stéganographie par bit de moindre signification (LSB) pour dissimuler des payloads .NET malveillants à l’intérieur d’images innocentes, comme des JPG ou des PNG. Selon les données de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), plus de 71 variantes distinctes ont été observées dans l’environnement réel, touchant des victimes en Amérique du Sud, en Afrique du Sud, en Ukraine et en Pologne. Cette menace représente un défi majeur pour les équipes de cybersécurité à travers le monde, nécessitant une vigilance accrue dans la validation de l’intégrité des fichiers image et la surveillance des processus systèmes.

Mécanisme Technique : La Stéganographie et l’Exécution Sans Fichier

La technique innovante adoptée par le Caminho repose sur la stéganographie LSB, une méthode mathématique qui modifie le bit de moindre signification d’un canal de couleur d’une image (comme le bleu d’un pixel) pour encoder discrètement des données binaires. Une fois l’image téléchargée via des plateformes légitimes comme Archive.org – utilisant des noms d’images crédibles comme « universe-1733359315202-8750.jpg » pour passer inaperçue – un script PowerShell effectue une analyse pixel par pixel de l’image stéganographiée. Le script charge ensuite cette image BMP en tant qu’objet Bitmap, extrait les données binaires encodées et les décode en un chargeur .NET interne au Caminho.

Cette phase d’extraction est immédiatement suivie par un chargement en mémoire vive (fileless execution), sans écriture sur le disque dur, ce qui échappe aux détections basées sur les signatures de fichiers classiques. Le chargeur injecte ensuite son code dans un processus légitime du système Windows, comme « calc.exe », pour masquer son activité malveillante. Cette méthode fileless, décrite comme « extrêmement efficace pour contourner les systèmes de détection traditionnels » par les analystes de la société Cyble, réduit considérablement les traces forensiques et complique le diagnostic après un incident.

Infrastructure de Livraison et Diversité des Charges Utiles

Le Caminho se distingue par son modèle d’exploitation « Loader-as-a-Service » (LaaS), imitant un service commercial où différents clients criminels peuvent commander des charges utiles spécifiques (malware) via ce vecteur initial commun. Une fois le chargeur actif, il récupère la charge utile finale à partir de commandes et contrôles (C2) distants via des URLs transmises en arguments à l’exécutable chargé en mémoire. Plusieurs familles de malware ont déjà été observées en livraison via le Caminho : le RAT commercial REMCOS, le cheval de Troie XWorm, et le volleur de données Katz Stealer. Cette modularité permet aux opérations criminelles de personnaliser leurs attaques sans réinventer la roue de la distribution.

Pour échapper aux détections, l’infrastructure de livraison du Caminho est soigneusement disséminée sur des services légitimes. Les images stéganographiées sont hébergées sur Archive.org, tandis que les scripts intermédiaires (comme les scripts PowerShell « stage ») sont distribués via des services de pastebin comme paste.ee ou pastefy.app. Le trafic C2 utilise des domaines d’apparence neutre ou hostés par des fournisseurs réputés pour leur tolérance envers les activités malveillantes, comme « cestfinidns.vip » sur le réseau Railnet LLC (AS214943). Cette stratification rend difficile l’identification et la désactivation des composants nuisibles au sein du trafic réseau normal.

Défis de Détection et Stratégies de Contre-Mesure

La combinaison de techniques de stéganographie, d’exécution sans fichiers et d’utilisation de services publics pour dissimuler les activités criminelles pose plusieurs défis techniques majeurs aux équipes de cybersécurité :

  1. Évasion par stéganographie : Les images portant des payloads encodés échappent aux scanner de fichiers basés sur les signatures, apparaissant comme des contenus innocents.
  2. Exécution sans écriture : La chargement et l’exécution directe en mémoire évitent tout artefact persistent, rendant les analyses post-mortem très compliquées.
  3. Infrastructure modulaire et distribuée : La dépendance à l’égard de services publics multiplie les points de contact à surveiller et complique la traçabilité de l’origine de l’attaque.
  4. Persistence programmatique : Le loader se réinstalle via des tâches planifiées Windows nommées « amandes » ou « amandines », assurant sa survie même après un redémarrage du système.
  5. Contextualisation régionale : Les artefacts en portugais et l’alignement des attaques sur les horaires opérationnels brésiliens suggèrent un noyau opérationnel brésilien, même si l’infrastructure et les victimes sont globales.

Pour contrer efficacement cette menace, les organisations doivent adopter une posture proactive et multi-couches. Voici quatre étapes concrètes à intégrer dans leur plan de défense :

  1. Validation stricte des sources et intégrité des fichiers : Mettre en place des contrôles rigoureux sur les origines des fichiers image reçus, notamment via vérification des signatures numériques ou hachage contre des listes de référence.
  2. Surveillance avancée du comportement système : Utiliser des solutions EDR/XDR capables de détecter des exécutions de code dans des processus légitimes (comme calc.exe) avec des anomalies de mémoire ou des injections de code suspectes.
  3. Analyse des flux réseau pour stéganographie : Employer des outils de détection de stéganographie avancés pour inspecter le trafic sortant des images ou des scripts chargés depuis des services tiers comme Archive.org ou les paste-bins.
  4. Segregation des postes de travail : Restreindre l’accès aux services d’hébergement de fichiers publics et aux paste-bins via des pare-feux d’applis ou des solutions de contrôle d’accès, limitant les vecteurs de chargement externes.

Conclusion : Une Évolution Critique dans le Paysage des Menaces

Le Caminho représente bien plus qu’un simple outil de distribution de malware ; c’est un exemple emblématique de la maturation et de la professionnalisation des cybercriminels modernes. En combinant des techniques classiques (phishing, injection de processus) avec des méthodes avancées (stéganographie LSB, exécution sans fichier) et un modèle d’affaires modulaire (LaaS), cette menace illustre une complexité sans précédent. Les équipes de cybersécurité en France et dans l’ensemble de l’UE doivent prendre acte de cette évolution : la confiance dans les données transportées via les protocoles standard ou les infrastructures « public » n’est plus valide. La vigilance, la validation systématique de l’intégrité des données et une surveillance comportementale fine se révèlent désormais indispensables pour contenir ce type de menace sophistiquée. Comme le souligne régulièrement l’ANSSI, la défense du cyberspace nécessite un effort concerté, alliant technologies de pointe et sensibilisation continue des équipes techniques à ces nouvelles tactiques criminelles.