Caminho Loader : La Stéganographie au Service de la Cybercriminalité Brésilienne

Églantine Montclair

Une Nouvelle Menace Issue du Brésil : Le Loader Caminho

Un nouveau chargeur malveillant baptisé Caminho (signifiant « chemin » en portugais) a récemment émergé comme une plateforme sophistiquée de Loader-as-a-Service (LaaS) utilisant la stéganographie LSB (Least Significant Bit) pour dissimuler des charges utiles .NET malveillantes à l’intérieur de fichiers images apparemment innocents. Selon les recherches menées par Arctic Wolf Labs, cette opération a été observée pour la première fois en mars 2025 et a considérablement évolué d’ici juin, étendant son influence depuis l’Amérique du Sud jusqu’à l’Afrique et l’Europe de l’Est. Cette menace représente une évolution inquiétante des techniques d’évasion utilisées par les cybercriminels, combinant des méthodes éprouvées avec des approches innovantes pour contourner les solutions de sécurité traditionnelles.

Fonctionnement Technique du Caminho Loader

La Stéganographie LSB : Cacher le Malware dans les Images

Le Caminho loader emploie une technique de stéganographie particulièrement ingénieuse en manipulant les bits les moins significatifs (LSB) des pixels dans des images courantes comme les JPG ou PNG. Cette méthode consiste à modifier légèrement les informations de couleur de chaque pixel pour y encoder des données binaires sans altérer visiblement l’image. Dans la pratique, le script PowerShell extrait le chargeur .NET intégré dans l’image en chargeant l’image BMP comme un objet Bitmap et en itérant à travers chaque pixel pour récupérer les valeurs des canaux de couleur qui encodent les données binaires dissimulées.

« Le script charge le BMP extrait en tant qu’objet Bitmap et parcourt chaque pixel… ces valeurs de canal de couleur encodent les données binaires dissimulées. » — Rapport technique d’Arctic Wolf Labs

Cette approche permet aux attaquants de distribuer leur charge malveillante via des hébergeurs légitimes comme Archive.org, où l’image contenant le code malveillant se fond parmi des milliers d’autres fichiers parfaitement légitimes. Les analyses ont révélé que des fichiers comme « universe-1733359315202-8750.jpg » contenaient en réalité des chargeurs malveillants dissimulés sous l’apparence d’images astronomiques.

Exécution Sans Fichier : Éviter les Détections Traditionnelles

Une caractéristique particulièrement préoccupante du Caminho est sa capacité à exécuter sa charge utile sans jamais écrire de fichiers sur le disque dur. Cette technique dite « fileless » contourne la plupart des solutions antivirus traditionnelles qui reposent sur l’analyse de fichiers. Le processus fonctionne selon plusieurs étapes :

  1. Extraction du chargeur .NET de l’image stéganographique
  2. Chargement direct du code en mémoire
  3. Injection dans un processus Windows légitime (comme calc.exe)
  4. Exécution du code malveillant dans le contexte de ce processus

Cette méthode d’exécution rend la détection considérablement plus difficile, car elle ne laisse que peu de traces sur le système de fichiers. De plus, le loader maintient sa persistance via des tâches planifiées nommées « amandes » ou « amandines », lui permettant de survivre aux redémarrages du système.

Persistance et Injection de Processus

Le Caminho loader démontre une sophistication notable dans ses mécanismes de persistance. Une fois exécuté, il crée des tâches planifiées avec des noms évoquant des aliments (« amandes » et « amandines »), probablement pour éviter d’attirer l’attention. Ces tâches garantissent que le code malveillant sera réactivé après chaque redémarrage du système.

L’injection de processus constitue une autre technique clé employée par ce loader. En injectant son code dans des processus légitimes comme calc.exe, Caminho bénéficie de la réputation de confiance de ces processus, ce qui complique davantage sa détection par les solutions de sécurité basées sur la réputation des applications. Cette approche permet également de contourner certaines restrictions liées au pare-feu ou aux permissions système.

Architecture et Origine du Loader-as-a-Service

Indices d’une Origine Brésilienne

L’enquête menée par Arctic Wolf Labs a identifié pas moins de 71 variantes d’échantillons partageant tous la même architecture fondamentale et présentant des artefacts en langue portugaise à travers le code. Ces indices linguistiques constituent des indicateurs forts d’une origine brésilienne, ce qui est corroboré par le choix du nom « Caminho » (chemin en portugais).

Les environnements victimes identifiés incluent le Brésil, l’Afrique du Sud, l’Ukraine et la Pologne, suggérant que l’opération a évolué d’une campagne unique vers un service multi-régional. L’analyse des heures d’activité des attaques révèle un schéma correspondant aux heures de travail brésiliennes, renforçant l’hypothèse d’une origine sud-américaine.

Modèle Économique LaaS (Loader-as-a-Service)

Le Caminho loader fonctionne selon un modèle commercial de type Loader-as-a-Service, offrant aux cybercriminels une plateforme prête à l’emploi pour distribuer divers types de malware. Ce modèle économique présente plusieurs caractéristiques distinctives :

  • Modularité : La séparation entre le chargeur initial et les charges finales permet aux clients du service de déployer différents types de malware selon leurs besoins
  • Réutilisabilité : Les images stéganographiques et l’infrastructure C2 sont réutilisées à travers plusieurs campagnes, optimisant ainsi les ressources
  • Flexibilité : Les clients peuvent spécifier des URL de téléchargement pour leurs charges finales via des arguments passés au loader
  • Évolutivité : L’architecture permet de gérer simultanément plusieurs campagnes avec différents payloads

Ce modèle LaaS représente une tendance croissante dans l’écosystème cybercriminel, où les spécialistes techniques développent des outils qu’ils mettent ensuite à disposition d’autres acteurs malveillants moins spécialisés.

Expansion Géographique et Ciblage

Initialement concentré en Amérique du Sud, particulièrement au Brésil, le Caminho loader a rapidement étendu son rayon d’action pour toucher des cibles en Afrique du Sud, en Ukraine et en Pologne. Cette expansion suggère une maturation de l’opération, passant d’une campagne régionale à un service véritablement global.

Les secteurs ciblés semblent principalement être des entreprises, avec des thématiques de phishing adaptées au contexte professionnel. Cette approche indique que les opérateurs de Caminho recherchent des cibles présentant un potentiel de gain financier plus élevé, typiquement des entreprises de taille moyenne disposant de ressources mais possédant souvent des défenses de sécurité moins sophistiquées que les grandes organisations.

Chaîne d’Attaque et Vecteurs d’Infection

Le Phishing comme Point d’Entrée

La chaîne d’infection du Caminho loader commence invariablement par une campagne de spear-phishing ciblée. Les victimes reçoivent des courriels contenant des pièces jointes malveillantes ou des liens vers des sites compromis, utilisant des techniques d’ingénierie sociale avec des thématiques professionnelles pour inciter à l’ouverture.

La première étape du déploiement implique généralement un script JavaScript ou VBScript obfusqué, qui une fois exécuté, va récupérer un script PowerShell plus complexe. Ce dernier est responsable du téléchargement de l’image stéganographique depuis des plateformes légitimes comme Archive.org. Cette approche en plusieurs étapes permet aux attaquants de contourner certaines protections basées sur la réputation des domaines ou des fichiers.

Dans un cas observé en France, une entreprise du secteur manufacturier a été ciblée avec un courriel prétendument émis par un partenaire commercial, contenant une facture au format ZIP. Ce fichier contenait un script VBScript qui initiait la chaîne d’infection, démontrant l’adaptabilité de ces attaques à différents contextes linguistiques et sectoriels.

Infrastructure de Distribution Malveillante

L’infrastructure déployée par les opérateurs du Caminho loader est remarquablement bien conçue pour éviter la détection et le blocage. Elle repose sur plusieurs éléments clés :

  1. Hébergement légitime : Utilisation de services comme Archive.org pour héberger les images stéganographiques
  2. Services de partage de code : Plateformes comme paste.ee et pastefy.app pour la mise en scène des scripts
  3. Hébergeurs résilients : Domaines comme « cestfinidns.vip » sur AS214943 (Railnet LLC), connus pour leur hébergement « bullet-proof » résistant aux demandes de retrait
  4. Infrastructure distribuée : Multiples points de distribution pour éviter les défaillances uniques

Cette utilisation stratégique de services légitimes permet aux attaquants de dissimuler leurs activités malveillantes parmi un trafic apparemment bénin, compliquant considérablement les efforts de détection et de blocage.

Payloads Délivrés : de REMCOS RAT à Katz Stealer

Une fois le Caminho loader établi sur un système, il récupère les charges finales via des URL spécifiées en arguments. Les analyses ont révélé une diversité de malware déjà distribués via ce chargeur, notamment :

  • REMCOS RAT : Un cheval de Troie d’accès à distance commercial offrant un contrôle complet du système compromis
  • XWorm : Un ver informatique capable de se propager sur le réseau local et de voler des informations sensibles
  • Katz Stealer : Un voleur d’informations d’identification spécialisé dans la récupération des mots de passe et autres données d’authentification

Cette variété de payloads démontre la flexibilité du modèle LaaS, permettant aux différents clients du service de déployer les outils les plus adaptés à leurs objectifs spécifiques, qu’il s’agisse d’espionnage, de vol de données ou de prise de contrôle à distance.

Type de MalwareFonctionnalités PrincipalesImpact Potentiel
REMCOS RATAccès à distance, capture d’écran, vol de fichiersPrise de contrôle complète du système
XWormPropagation réseau, vol d’informations, backdoorCompromission de multiples systèmes
Katz StealerRécupération de mots de passe, cookies, données de formulairesVol d’identifiants et d’informations sensibles

Détection et Protection contre le Caminho Loader

Indicateurs de Compromise (IoC)

La détection du Caminho loader repose sur plusieurs indicateurs de compromission spécifiques que les équipes de sécurité devraient surveiller activement :

  • Noms de tâches planifiées : Présence de tâches nommées « amandes » ou « amandines »
  • Processus suspects : Comportements inhabituels de processus légitimes comme calc.exe
  • Connexions réseau : Communications avec des domaines comme « cestfinidns.vip »
  • Fichiers images suspects : Téléchargements d’images depuis Archive.org suivis d’activités PowerShell anormales
  • Scripts PowerShell : Détection de scripts PowerShell manipulant des objets Bitmap et analysant les pixels d’images

Les organisations devraient implémenter une surveillance continue de ces indicateurs, en particulier dans les secteurs et régions identifiés comme cibles privilégiées par cette menace.

Stratégies de Défense pour les Organisations

Face à la sophistication du Caminho loader, les organisations devraient adopter une approche de défense en profondeur combinant plusieurs couches de sécurité :

  1. Sensibilisation et formation : Former les utilisateurs à reconnaître les tentatives de phishing ciblé
  2. Filtrage avancé des courriels : Déployer des solutions capables d’analyser le contenu et le contexte des messages
  3. Restriction des scripts : Limiter l’exécution des scripts PowerShell et VBScript via des stratégies de groupe
  4. Analyse comportementale : Implémenter des solutions EDR (Endpoint Detection and Response) capables de détecter les comportements anormaux
  5. Segmentation réseau : Isoler les systèmes critiques pour limiter la propagation latérale
  6. Surveillance des processus légitimes : Monitorer l’activité des processus courants comme calc.exe pour détecter les comportements suspects

En France, l’ANSSI recommande particulièrement aux organisations de se doter de capacités de détection et de réponse aux incidents (EDR/XDR) pour faire face à ce type de menaces avancées. Par ailleurs, la conformité avec le RGPD impose une vigilance particulière sur les données personnelles susceptibles d’être visées par des voleurs d’informations comme Katz Stealer.

Outils et Bonnes Pratiques de Sécurité

La protection contre les menaces comme le Caminho loader nécessite l’adoption d’outils et de pratiques spécifiques :

  • Solutions EDR/XDR : Plateformes de détection et réponse aux incidents capables d’analyser les comportements plutôt que seulement les signatures
  • Analyse statique et dynamique : Outils capables d’inspecter le contenu des images pour détecter d’éventuelles charges utiles cachées
  • Contrôle d’application : Solutions limitant l’exécution des applications non autorisées ou suspectes
  • Journalisation centralisée : Collecte et analyse centralisée des logs pour détecter les activités anormales
  • Mises à jour régulières : Maintien des systèmes et applications à jour pour limiter les surfaces d’attaque

« La stéganographie représente un défi croissant pour les solutions de sécurité traditionnelles. Les organisations doivent évoluer vers des approches comportementales et contextuelles pour détecter ces menaces sophistiquées. » — Expert en cybersécurité de l’ANSSI

Conclusion : Anticiper l’Évolution des Menaces de Type Loader-as-a-Service

Le Caminho loader illustre parfaitement l’évolution actuelle des menaces cybercriminelles, où les techniques traditionnelles comme le phishing et l’injection de processus sont combinées avec des méthodes d’évasion avancées comme la stéganographie et l’exécution sans fichier. Ce modèle de Loader-as-a-Service démontre la professionnalisation croissante de l’écosystème cybercriminel, avec une spécialisation des rôles et une optimisation des ressources.

Alors que cette menace continue d’étendre sa géographie et son support de payloads, les organisations des régions ciblées — particulièrement en Amérique du Sud, en Afrique et en Europe de l’Est — devraient considérer leur exposition potentielle, chasser activement les signes de compromission et valider l’intégrité des fichiers images, les origines des téléchargements et les arbres de processus. Les entreprises françaises, bien que moins directement ciblées actuellement, ne doivent pas pour autant négliger cette menace qui pourrait rapidement s’étendre à d’autres régions.

La défense contre ces menaces sophistiquées nécessite une approche holistique combinant technologie, processus et formation. Comme le démontre le Caminho loader, les cybercriminels continuent d’innover pour contourner les protections existantes, exigeant une vigilance constante et une adaptation continue des stratégies de sécurité.