L’équipe de recherche de Cisco a identifié plusieurs familles de rançongiciels diffusés via cette méthode, CyberLock, Lucky_Gh0$t et le malware Numero.
Les pirates surfent sur la vague de popularité de l'IA. L’équipe de recherche en threat intelligence de Cisco, Cisco Talos, a décrit une nouvelle méthode d’attaque qui consiste à déployer des rançongiciels à travers de faux outils d’IA populaires.
Du SEO empoisonné
Dans le détail, Talos a repéré un faux site web imitant la plateforme d’optimisation de conversion commerciale Nova Leads, sous le nom de domaine novaleadsai[.]com. Pour attirer la victime, l’acteur malveillant propose un accès gratuit pendant 12 mois. Pour rendre son site légitime et endormir encore un peu plus la méfiance de l’utilisateur, le pirate a manipulé le SEO afin de faire remonter son application dans les résultats de recherche. Une fois que l’utilisateur télécharge le produit, il contient un exécutable NovaLeadsAI.exe qui contient un script PowerShell du rançongiciel CyberLock et le déploie dans le système.
« Les utilisateurs font souvent preuve d'un excès de confiance envers ces nouveaux outils d'intelligence artificielle générative, sans toujours vérifier leur origine ni analyser la crédibilité d'offres qui semblent trop alléchantes, comme un accès gratuit de 12 mois », a déclaré Eric Vedel, Directeur de la Cybersécurité chez Cisco France, cité dans un communiqué.
Des outils légitimes pour brouiller les pistes
Lucky_Gh0$t, qui imite ChatGPT 4.0, est diffusé via une archive auto-extractible (SFX) au format ZIP, nommée ‘ChatGPT 4.0 full version - Premium.exe’. Elle contient un dossier qui renferme l’exécutable Lucky_Gh0$t, nommé ‘dwn.exe’, et imite un fichier légitime de Microsoft ‘dwm.exe’ (Desktop Window Manager). « Le dossier contenait également des outils d’IA légitimes et open source de Microsoft, disponibles sur leur dépôt GitHub, destinés aux développeurs et data scientists travaillant avec l’IA, notamment dans l’écosystème Azure », développent les chercheurs. Ces outils légitimes ont probablement été ajoutés afin de tromper les scanners anti-malware.
Numero se fait quant à lui passer pour l’outil de création de vidéos d’IA, InVideo AI. Le faux installateur agit comme un dropper, déposant un fichier batch, un script VB et le malware Numero sur la machine victime. Le script batch lance Numero en boucle, ce qui permet au malware de fonctionner en continu, rendant sa suppression plus complexe. Ce malware manipule les composants de l’interface graphique de Windows de la victime et le rend inutilisable.
Appel à la prudence
Cisco Talos s’inquiète que des entreprises en quête d’outils d’IA ne se fassent duper, rappelant que les outils d’IA sont populaires dans les domaines des ventes B2B, de la tech et du marketing, particulièrement visés par ces campagnes.
« Cette pratique représente un risque majeur, car elle compromet non seulement les données sensibles et les actifs financiers des entreprises, mais mine également la confiance envers les véritables solutions IA », écrivent les chercheurs, qui en appellent à la prudence des organisations et de leurs collaborateurs, en ne téléchargeant des outils qu’à partir de fournisseurs vérifiés.
