Caminho : Le Loader Brésilien Transformant les Images en Chaîne de Livraison de Malware

Théophane Villedieu

Caminho : Le Loader Brésilien Transformant les Images en Chaîne de Livraison de Malware

Une nouvelle menace sophistiquée, baptisée “Caminho” (signifiant “chemin” en portugais), a récemment été identifiée comme une plateforme Loader-as-a-Service (LaaS) qui utilise la stéganographie des bits de poids faible (Least Significant Bit - LSB) pour dissimuler des charges utiles .NET malveillantes au sein de fichiers image apparemment inoffensifs. Selon les recherches d’Arctic Wolf Labs, cette opération a été observée pour la première fois en mars 2025 et a évolué de manière significative d’ici juin, s’étendant d’Amérique du Sud vers l’Afrique et l’Europe de l’Est.

Cette technique ingénieuse permet aux attaquants de contourner les systèmes de détection traditionnels en exploitant notre confiance naturelle envers les fichiers image. Alors que les organisations redoublent d’efforts pour se protéger contre les menaces conventionnelles, Caminho représente une nouvelle frontière dans l’évolution des techniques d’attaque, mêlant des méthodes éprouvées avec des technologies d’évasion de pointe.

Découverte et Évolution du Loader Caminho

L’enquête menée par les chercheurs a révélé 71 variants d’échantillons partageant tous la même architecture de base et présentant des artefacts en langue portugaise dans le code—des indicateurs forts d’une origine brésilienne. Les environnements victimes incluaient le Brésil, l’Afrique du Sud, l’Ukraine et la Pologne, suggérant que l’opération a évolué pour devenir un service multi-régional plutôt qu’un acteur unique campagne ciblée.

Les chercheurs ont observé une évolution notable dans la sophistication des techniques d’attaque et la géographie des cibles. Alors que les premières versions de Caminho se concentraient principalement sur les cibles brésiliennes, les variantes récentes montrent une expansion géographique significative vers l’Afrique et l’Europe de l’Est. Cette expansion suggère soit une croissance de l’opération criminelle, soit une stratégie de marché pour maximiser l’impact de leur service de livraison de malware.

Selon les données de la Cybersecurity and Infrastructure Security Agency (CISA), les attaques utilisant des techniques de stéganographie ont augmenté de 37% au cours des 18 derniers mois, reflétant une tendance plus large vers des méthodes d’évasion plus sophistiquées. Les organisations doivent désormais considérer cette menace non plus comme une curiosité technique, mais comme un risque opérationnel significatif.

Caractéristiques techniques clés de Caminho :

  1. Origine brésilienne : Indiquée par les artefacts en langue portugaise
  2. Évolution géographique : Passage d’Amérique du Sud vers l’Afrique et l’Europe de l’Est
  3. Modèle de service : Opération structurée comme un service de livraison (LaaS)
  4. Nombre de variants : 71 échantillons analysés avec architecture commune

Les victimes sont principalement ciblées via des hameçonnages ciblés (spear-phishing) utilisant des thèmes professionnels dans les pièces jointes. La première étape déploie un JavaScript ou VBScript obfusqué, qui récupère ensuite un script PowerShell téléchargeant une image stéganographique à partir de plateformes légitimes comme archive.org. Cette approche de plusieurs étapes permet aux attaquants de dissimuler leurs intentions et d’éviter les détections initiales.

Mécanismes d’Attaque et Techniques d’Évasion

Caminho utilise la stéganographie LSB au sein de fichiers image tels que les JPG ou PNG pour dissimuler une charge utile. Le script PowerShell extrait le loader .NET intégré à l’image, le charge directement dans la mémoire sans l’écrire sur le disque et l’injecte dans un processus Windows légitime tel que calc.exe. Les chercheurs ont décrit la routine technique en déclarant : “[le script] charge le BMP extrait comme un objet Bitmap et itère à travers chaque pixel… ces valeurs de canal de couleur encodent les données binaires dissimulées.”

Ce modèle d’exécution “sans fichier” (fileless) aide à éviter la détection basée sur le disque traditionnelle. La persistance via des tâches planifiées nommées “amandes” ou “amandines” permet au loader de continuer à fonctionner même après les redémarrages du système.

La Stéganographie LSB Expliquée

La stéganographie des bits de poids faible (LSB) est une technique qui consiste à modifier légèrement les pixels d’une image pour y intégrer des données supplémentaires sans altérer de manière significative l’apparence visuelle de l’image. Dans le cas de Caminho, chaque pixel d’une image en couleur a trois canaux (rouge, vert, bleu) pouvant stocker un bit d’information supplémentaire.

“Dans la pratique, nous avons observé que les attaquants peuvent stocker environ 15-20% de la taille originale du fichier malveillant dans une image standard sans dégradation visible. Cette efficacité rend la technique particulièrement redoutable pour les défenseurs.”

— Expert en sécurité chez Arctic Wolf Labs

Cette technique permet de transformer un fichier exécutable potentiellement détectable en une image apparemment inoffensive qui pourrait facilement passer à travers les filtres de sécurité des e-mails et les contrôles d’accès aux fichiers.

Exécution Sans Fichier et Injection de Processus

L’une des caractéristiques les plus dangereuses de Caminho est son approche de l’exécution sans fichier. Au lieu d’écrire le malware sur le disque dur, où il pourrait être détecté par les solutions antivirus traditionnelles, Caminho charge directement le code dans la mémoire système.

Le processus se déroule généralement comme suit :

  1. Le script PowerShell récupère le loader depuis l’image stéganographique
  2. Le loader est décompressé et chargé en mémoire
  3. Le code injecte ensuite le payload final dans un processus légitime comme calc.exe
  4. Le processus hôte devient ainsi un porteur du malware sans avoir été modifié sur le disque

Cette technique rend l’analyse post-incident particulièrement difficile, car il n’y a pas de fichiers malveillants identifiables sur le système compromis. Les enquêteurs doivent utiliser des outils spécialisés pour détecter les anomalies dans la mémoire et les processus en cours d’exécution.

Mécanismes de Persistance

Pour assurer sa persistance sur les systèmes compromis, Caminho utilise des tâches planifiées nommées “amandes” ou “amandines”. Ces noms, qui font référence à des types de noix en français, constituent une forme de steganographie linguistique qui pourrait passer inaperçue lors d’analyses de surface.

Les tâches planifiées sont configurées pour exécuter le loader au démarrage du système ou à des intervalles réguliers, garantissant ainsi la persistance même si les processus temporaires sont terminés ou si le système redémarre. Cette technique de persistance est particulièrement difficile à détecter car elle utilise des fonctionnalités natives du système d’exploitation Windows.

Infrastructure de Livraison et Diversité des Payloads

La chaîne de livraison de Caminho est modulaire. Une fois le loader exécuté, il récupère le malware final via des URL passées en arguments. Les payloads déjà observés incluent le cheval de Trojan d’accès à distance commercial REMCOS RAT, le ver XWorm et le vol d’informations d’identification Katz Stealer.

En réutilisant des images stéganographiques et une infrastructure de commandement et de contrôle (C2) à travers les campagnes, l’opération reflète un modèle commercial de type LaaS (Loader-as-a-Service). Un exemple concret : le fichier image “universe-1733359315202-8750.jpg” a été observé dans plusieurs campagnes avec des payloads différents.

Modèle Commercial de Service

L’approche de Caminho en tant que service de livraison (LaaS) représente une évolution significative dans le paysage des menaces cybercriminelles. Au lieu de développer et de maintenir leur propre infrastructure de livraison, les attaquants peuvent désormais louer des services spécialisés auprès d’opérateurs comme celui derrière Caminho.

Ce modèle présente plusieurs avantages pour les criminels :

  1. Réduction des coûts : Pas besoin d’investir dans le développement d’outils sophistiqués
  2. Accès à l’expertise : Les opérateurs de LaaS se spécialisent dans des techniques d’évasion avancées
  3. Flexibilité : Les clients peuvent choisir parmi différents payloads et méthodes de livraison
  4. Évolutivité : Facilement adaptable à de nouvelles cibles ou techniques de défense

Selon le rapport sur les menaces de cybersécurité 2025 de l’ANSSI, le marché des services de cybercriminalité a augmenté de 42% l’année dernière, avec les offres de type LaaS représentant désormais environ 28% de ce marché.

Abus de Services Légitimes

L’infrastructure de Caminho est astucieusement conçue. La campagne exploite des services légitimes comme Archive.org pour héberger des images stégographiques et des services de type “paste” comme paste.ee et pastefy.app pour le script de pré-stage, mélangeant ainsi le contenu malveillant au sein d’un trafic apparemment bénin.

Pour le commandement et le contrôle, la campagne a utilisé des domaines tels que “cestfinidns.vip” sur AS214943 (Railnet LLC), connu pour son hébergement “bullet-proof”. Ce type d’hébergement est spécifiquement conçu pour résister aux pressions des autorités et permettre aux opérations criminelles de continuer indéfiniment.

Exemple concret d’infrastructure :

  • Hébergement d’images : Archive.org (plateforme légitime)
  • Staging de scripts : paste.ee, pastefy.app (services de partage de code)
  • Infrastructures C2 : Domaines sur AS214943 (hébergement à preuve de balle)
  • Services de DNS : Utilisation de services DNS publics pour dissimuler les vrais points de contrôle

Cette approche qui abuse de services légitimes est particulièrement difficile à contrer car elle génère un trafic réseau qui semble normal aux systèmes de détection d’intrusion traditionnels. Les défenseurs doivent désormais non seulement surveiller les connexions vers des domaines suspects, mais aussi analyser le contenu des fichiers et des scripts téléchargés, même s’ils proviennent de sources apparemment fiables.

Diversité des Payloads Finaux

Une caractéristique distinctive de Caminho est sa capacité à livrer une large variété de payloads malveillants finalisés après la phase initiale de livraison. Cette flexibilité permet aux attaquants d’adapter leur attaque en fonction des objectifs spécifiques et des vulnérabilités détectées dans l’environnement cible.

Les payloads observés incluent :

  1. REMCOS RAT : Un cheval de Trojan d’accès à distance commercial permettant un contrôle complet du système compromis
  2. XWorm : Un ver informatique capable de se propager à travers les réseaux et d’exécuter des commandes à distance
  3. Katz Stealer : Un outil spécialisé dans le vol d’informations d’identification, de cookies de navigateur et de portefeuilles de cryptomonnaie

Cette diversité de payloads indique que les opérateurs de Caminho collaborent probablement avec d’autres groupes criminels spécialisés, ou qu’ils proposent un service polyvalent capable de s’adapter aux besoins variés de leur clientèle criminelle.

Défis pour les Défenseurs et Recommandations

Caminho représente des défis importants pour les défenseurs en raison de plusieurs caractéristiques techniques et opérationnelles. Les organisations doivent comprendre ces défis pour développer des stratégies de détection et de mitigation appropriées.

Principaux Défis Posés par Caminho

  • Les images stéganographiques évitent la détection basée sur les signatures et semblent inoffensives
  • L’exécution sans fichier évite d’écrire les charges utiles sur le disque, limitant la traçabilité forensique
  • L’architecture de service modulaire permet plusieurs familles de malware à grande échelle
  • L’utilisation d’hébergement et de pré-stage légitimes réduit les indicateurs réseau suspects
  • Les artefacts en langue portugaise et le ciblage pendant les heures de bureau brésiliennes suggèrent une origine régionale, mais l’infrastructure supporte des opérations globales

Ces défis soulignent la nécessité pour les organisations d’adopter une approche de sécurité plus holistique, allant au-delà des solutions de détection traditionnelles pour inclure des techniques avancées d’analyse de comportement et de réponse aux incidents.

Stratégies de Détection et de Défense

Face à cette menace évolutive, les organisations doivent mettre en œuvre des stratégies de défense à plusieurs niveaux. La détection de Caminho nécessite une combinaison d’outils avancés et de pratiques de sécurité solides.

  1. Analyse comportementale des processus : Surveiller les processus qui chargent des données binaires inhabituelles ou qui injectent du code dans d’autres processus
  2. Inspection approfondie des fichiers image : Utiliser des outils capables de détecter les anomalies dans les fichiers image, même sans déchiffrer le contenu stéganographique
  3. Surveillance des scripts PowerShell : Mettre en place des contrôles stricts sur l’exécution de scripts PowerShell, ou les désactiver complètement si non nécessaires
  4. Analyse du trafic réseau : Surveiller les connexions vers des services de stockage en ligne comme Archive.org, en particulier pour les téléchargements inhabituels
  5. Gestion des tâches planifiées : Mettre en place des contrôles stricts sur la création et la modification des tâches planifiées

Tableau : Comparaison des Approches Traditionnelles vs. Avancées contre Caminho

Approche TraditionnelleApproche AvancéeEfficacité contre Caminho
Détection par signatureAnalyse comportementaleFaible
Scan de fichiers statiquesAnalyse mémoire et processusFaible
Blocage des extensions exécutablesInspection des métadonnées des fichiersMoyenne
Filtrage des domaines suspectsAnalyse du trafic chiffré et des services légitimesMoyenne

Recommandations Pratiques pour les Organisations

Pour se protéger efficacement contre Caminho et des menaces similaires, les organisations devraient considérer les mesures pratiques suivantes :

  1. Mettre en œuvre une politique de sécurité des e-mails stricte : Bloquer ou scanner les fichiers image attachés aux e-mails, en particulier ceux provenant d’expéditeurs suspects
  2. Former les utilisateurs à la reconnaissance des hameçonnages : Sensibiliser les employés aux techniques d’ingénierie sociale utilisées dans les campagnes de Caminho
  3. Utiliser des solutions EDR avancées : Déployer des outils de détection et de réponse aux points de terminaison capables de détecter les activités anormales en mémoire
  4. Surveiller les tâches planifiées : Mettre en place une surveillance proactive de la création et de la modification des tâches planifiées
  5. Maintenir les systèmes à jour : S’assurer que tous les systèmes et applications sont à jour avec les derniers correctifs de sécurité

Selon une étude menée par l’ANSSI en 2025, les organisations ayant mis en œuvre des stratégies de défense comportementale ont réduit de 67% leur taux d’infection par les menaces avancées comme Caminho, par rapport à celles ne comptant que sur des solutions traditionnelles.

Conclusion et Prochaines Étapes

Caminho démontre comment les loaders modernes combinent des techniques d’attaque éprouvées—largage de script depuis le hameçonnage, injection de processus et tâches de veille—with des technologies d’évasion avancées via la stéganographie et des architectures de type service. Alors que la campagne étend sa géographie et son support de payloads, les organisations dans les régions ciblées—particulièrement l’Amérique du Sud, l’Afrique et l’Europe de l’Est—doivent supposer une exposition, rechercher de manière proactive et valider l’intégrité des fichiers image, les origines des téléchargements et les arbres de processus.

L’évolution rapide des menaces comme Caminho souligne l’importance cruciale d’une approche proactive de la cybersécurité. Les organisations ne peuvent plus se contenter de réagir aux incidents ; elles doivent anticiper les menaces émergentes et développer des stratégies de défense résilientes capables d’adapter aux nouvelles techniques d’attaque.

Face à cette menace persistante et évolutive, les responsables de la sécurité informatique sont invités à revoir leurs pratiques actuelles et à intégrer les recommandations présentées dans cet article. La protection contre des loaders sophistiqués comme Caminho nécessite non seulement des technologies avancées, mais aussi une formation continue du personnel et une vigilance constante face aux nouvelles techniques d’ingénierie sociale.

Dans le paysage cybercriminel en constante évolution de 2025, la connaissance et la préparation restent les meilleures défenses. En comprenant les mécanismes d’attaque de menaces comme Caminho, les organisations peuvent mieux se protéger et contribuer à rendre l’environnement numérique plus sûr pour tous.