Imaginez un cambrioleur si discret quâil marcherait sur la pointe des bits. Câest un peu lâidĂ©e derriĂšre ce nouveau cheval de Troie Ă distance (RAT) qui sĂ©vit dans la nature depuis plusieurs semaines sans se faire repĂ©rer. Son arme secrĂšte ? Des en-tĂȘtes DOS et PE volontairement corrompus. Un cocktail peu commun, mais diablement efficace pour Ă©viter les radars des antivirus.
đïž DĂ©couvert quand ? Et qui lâa vu danser ?
Ce malware, surnommĂ© par certains chercheurs HeaderGhost, a Ă©tĂ© dĂ©tectĂ© et analysĂ© par lâĂ©quipe FortiGuard Labs de Fortinet, puis rĂ©vĂ©lĂ© publiquement le 29 mai 2025.
Les premiĂšres infections remontent Ă plusieurs semaines auparavant, ce qui signifie quâil a pu se promener dans des environnements Windows en toute discrĂ©tion pendant un bon moment, sans dĂ©clencher la moindre alerte.
𧏠Petite leçon dâanatomie Windows : PE, DOS et embrouilles
Chaque fichier exĂ©cutable sous Windows (.exe, .dll) possĂšde une structure bien connue : le format PE (Portable Executable). Celui-ci commence par un en-tĂȘte DOS (hĂ©ritage des annĂ©es 80) suivi dâun en-tĂȘte PE plus moderne. Ces en-tĂȘtes sont cruciaux : ils dĂ©crivent comment le systĂšme doit charger et exĂ©cuter le fichier.
Mais que se passe-t-il si⊠ces en-tĂȘtes sont volontairement endommagĂ©s ou dĂ©formĂ©s, sans empĂȘcher le fichier de fonctionner ? Câest lĂ que notre rat entre en scĂšneâŠ
đ”ïžââïž Le stratagĂšme du camĂ©lĂ©on : âHeader? I hardly know her!â
Le RAT modifie certains champs clĂ©s des en-tĂȘtes DOS et PE : il les tronque, les dĂ©cale, ou les remplit de valeurs non standard. RĂ©sultat :
- Les antivirus et sandboxes Ă©chouent Ă parser correctement le fichier.
- Les outils dâanalyse Ă©chouent ou abandonnent.
- Mais Windows, Ă©tonnamment tolĂ©rant, exĂ©cute quand mĂȘme ce fichier sans broncher.
Câest comme si un CV Ă©tait rempli de fautes, mais que le recruteur dĂ©cidait quand mĂȘme dâembaucher la personne parce quâelle avait « la bonne tĂȘte ». Charmant, non ?
đ„ïž Quelles versions de Windows sont touchĂ©es ?
Le RAT a Ă©tĂ© observĂ© sâexĂ©cutant dans un processus dllhost.exe sous la forme dâun fichier PE 64 bits, ce qui indique quâil est conçu pour les systĂšmes Windows modernes 64 bits, en particulier :
- Windows 10
- Windows 11
- Ăventuellement Windows Server 2016/2019/2022
Rien nâindique quâil soit compatible avec des versions plus anciennes comme Windows 7 (RIP) ou des variantes 32 bits.
đ§Ș Charge utile : discrĂ©tion, chiffrement et exfiltration
Une fois exécuté, HeaderGhost :
- Ătablit une persistance via le registre ou des fichiers planquĂ©s (
C:\ProgramData, etc.). - Communique avec un serveur C2Â (notammentÂ
rushpapers[.]com) via TLS. - ExĂ©cute des commandes distantes, vole des donnĂ©es, capture lâĂ©cran, et Ă©coute des connexions entrantes.
- Tente dâĂ©chapper Ă la dĂ©tection en surveillant les processus comme Wireshark, Procmon ou dâĂ©ventuels EDR.
Un classique RAT, mais avec une cape dâinvisibilitĂ© sur mesure.
đĄïž Comment sâen protĂ©ger ?
Voici les mesures recommandées :
- Surveillez les processus systĂšme inhabituels commeÂ
dllhost.exe sâexĂ©cutant avec des fichiers non signĂ©s ou provenant de rĂ©pertoires suspects. - Bloquez les extensionsÂ
.exe dans les e-mails, et dĂ©sactivez l’exĂ©cution automatique de fichiers compressĂ©s. - Analysez les exĂ©cutables avec des outils spĂ©cialisĂ©s comme PEStudio, Capa, ou Ghidra.
- DĂ©ployez une stratĂ©gie dâApplication Whitelisting (AppLocker, WDAC) : seuls les exĂ©cutables autorisĂ©s peuvent se lancer.
- Activez la journalisation avancĂ©e de PowerShell et de la console Windows Script Host, souvent utilisĂ©s pour les Ă©tapes dâinjection ou dâĂ©vasion.
Et bien sûr : sensibilisez vos utilisateurs. Un double-clic malheureux peut suffire à ouvrir la porte à ce fantÎme numérique.
đŹ En conclusion : un bon header, câest la base
Cette attaque rappelle que les fondations dâun fichier peuvent ĂȘtre aussi vulnĂ©rables que son contenu. En sabotant les en-tĂȘtes PE/DOS de maniĂšre intelligente, HeaderGhost contourne des annĂ©es de recherche en dĂ©tection statique et comportementale.
Restez vigilants, analysez vos headers, et souvenez-vous : mĂȘme un fichier qui a lâair cassĂ© peut ĂȘtre terriblement efficace⊠surtout quand il veut le rester.
