Un acteur malveillant utilise un script PowerShell qui a probablement été créé à l’aide d’un système d’intelligence artificielle tel que ChatGPT d’OpenAI, Gemini de Google ou CoPilot de Microsoft.

L’adversaire a utilisé le script dans une campagne de courrier électronique en mars qui ciblait des dizaines d’organisations en Allemagne pour livrer le voleur d’informations Rhadamanthys.

PowerShell basé sur l’IA déploie infostealer
Des chercheurs de la société de cybersécurité Proofpoint ont attribué l’attaque à un acteur de la menace identifié comme TA547, considéré comme un courtier d’accès initial (IAB).

TA547, également connu sous le nom de Scully Spider, est actif depuis au moins 2017 et diffuse une variété de logiciels malveillants pour les systèmes Windows (ZLoader/Terdot, Gootkit, Ursnif, Corebot, Panda Banker, Atmos) et Android (Mazar Bot, Red Alert).

Récemment, l’auteur de la menace a commencé à utiliser le voleur modulaire Rhadamanthys qui étend constamment ses capacités de collecte de données (presse-papiers, navigateur, cookies.

Le voleur d’informations est distribué depuis septembre 2022 à plusieurs groupes de cybercriminalité sous le modèle malware-as-a-service (MaaS).

Selon les chercheurs de Proofpoint, TA547 s’est fait passer pour la marque allemande Metro cash-and-carry dans une récente campagne d’e-mails utilisant les factures comme un leurre pour “des dizaines d’organisations de divers secteurs en Allemagne.”

TA547 e-mail de phishing usurpant l’identité de Metro Cash & Carry

Les messages comprenaient une archive ZIP protégée par le mot de passe « MAR 26 », qui contenait un fichier de raccourci malveillant (.LNK). L’accès au fichier de raccourci a déclenché PowerShell pour exécuter un script distant.

“Ce script PowerShell a décodé le fichier exécutable Rhadamanthys codé en Base64 stocké dans une variable et l’a chargé en tant qu’assembly en mémoire, puis a exécuté le point d’entrée de l’assembly  » – Proofpoint

Les chercheurs expliquent que cette méthode permettait au code malveillant d’être exécuté en mémoire sans toucher le disque.

En analysant le script PowerShell qui chargeait Rhadamanthys, les chercheurs ont remarqué qu’il incluait un signe dièse/dièse (#) suivi de commentaires spécifiques pour chaque composant, ce qui est rare dans le code créé par l’homme.

Script PowerShell présumé généré par l’IA utilisé dans l’attaque TA547

Les chercheurs affirment que ces caractéristiques sont typiques du code provenant de solutions d’IA génératives telles que ChatGPT, Gemini ou CoPilot.

Bien qu’ils ne puissent pas être absolument certains que le code PowerShell provient d’une solution de modèle de langage étendu (LLM), les chercheurs affirment que le contenu du script suggère la possibilité que TA547 utilise l’IA générative pour écrire ou réécrire le script PowerShell.

Breachtrace a utilisé ChatGPT-4 pour créer un script PowerShell similaire et le code de sortie ressemblait à celui vu par Proofpoint, y compris les noms de variables et les commentaires, indiquant en outre qu’il est probable que l’IA ait été utilisée pour générer le script.

Exemple de script PowerShell généré avec ChatGPT

Une autre théorie est qu’ils l’ont copié à partir d’une source qui s’appuyait sur l’IA générative pour le codage.

IA pour les activités malveillantes
Depuis qu’OpenAI a publié ChatGPT fin 2022, des acteurs de la menace motivés financièrement exploitent la puissance de l’IA pour créer des e-mails de phishing personnalisés ou localisés, exécuter des analyses de réseau pour identifier les vulnérabilités sur les hôtes ou les réseaux, ou créer des pages de phishing hautement crédibles.

Certains acteurs étatiques associés à la Chine, à l’Iran et à la Russie se sont également tournés vers l’IA générative pour améliorer la productivité lors de la recherche de cibles, d’outils de cybersécurité et de méthodes pour établir la persistance et échapper à la détection, ainsi que pour la prise en charge des scripts.

À la mi-février, OpenAI a annoncé avoir bloqué des comptes associés à des groupes de pirates informatiques parrainés par l’État Charcoal Typhoon, Salmon Typhoon (Chine), Crimson Storm (Iran), Emerald Sleet (Corée du Nord) et Forest Blizzard (Russie) abusant de ChatGPT à des fins malveillantes.

Comme la plupart des grands modèles d’apprentissage des langues tentent de restreindre la production si elle peut être utilisée pour des logiciels malveillants ou des comportements malveillants, les acteurs de la menace ont lancé leurs propres plateformes de chat IA pour les cybercriminels.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *