Dans une campagne d’e-mails ciblant les utilisateurs français, des chercheurs ont découvert un code malveillant qui aurait été créé à l’aide de services d’intelligence artificielle générative pour diffuser le logiciel malveillant AsyncRAT.
Alors que les cybercriminels ont utilisé la technologie d’IA générative pour créer des courriels convaincants, les agences gouvernementales ont mis en garde contre l’abus potentiel des outils d’IA pour créer des logiciels malveillants, malgré les garanties et les restrictions mises en place par les fournisseurs.
Des cas suspects de logiciels malveillants créés par l’IA ont été repérés lors d’attaques réelles. Plus tôt cette année, la société de cybersécurité Proofpoint a découvert un script PowerShell malveillant qui a probablement été créé à l’aide d’un système d’IA.
Alors que des acteurs malveillants moins techniques s’appuient de plus en plus sur l’IA pour développer des logiciels malveillants, les chercheurs en sécurité de HP ont découvert début juin une campagne malveillante qui utilisait du code commenté de la même manière qu’un système d’IA générative créerait.
La campagne a utilisé la contrebande HTML pour fournir une archive ZIP protégée par mot de passe que les chercheurs forcent brutalement à déverrouiller.
HP Wolf Security rapporte que les cybercriminels ayant des compétences techniques inférieures utilisent de plus en plus l’IA générative pour développer des logiciels malveillants, avec un exemple fourni dans le rapport « Threat Insights » pour le deuxième trimestre 2024.
Début juin, HP a découvert une campagne de phishing ciblant les utilisateurs français, utilisant la contrebande HTML pour fournir une archive ZIP protégée par mot de passe contenant un code VBScript et JavaScript.
Après avoir forcé brutalement le mot de passe, les chercheurs ont analysé le code et ont découvert « que l’attaquant avait soigneusement commenté l’intégralité du code », ce qui arrive rarement avec le code développé par l’homme, car les auteurs de menaces veulent cacher le fonctionnement du logiciel malveillant.
“Ces commentaires décrivent exactement ce que fait le code, de la même manière que les services d’IA générative peuvent créer un code exemplaire avec des explications » – Rapport de sécurité HP Wolf
Le VBScript a établi la persistance sur la machine infectée, créant des tâches planifiées et écrivant de nouvelles clés dans le registre Windows.
Les chercheurs notent que certains des indicateurs pointant vers du code malveillant généré par l’IA incluent la structure des scripts, les commentaires qui expliquent chaque ligne, le choix de la langue maternelle pour les noms de fonctions et les variables.
Dans les étapes ultérieures, l’attaque télécharge et exécute AsyncRAT, un logiciel malveillant open source et disponible gratuitement qui peut enregistrer les frappes au clavier sur la machine victime et lui fournir une connexion cryptée pour la surveillance et le contrôle à distance. Le malware peut également fournir des charges utiles supplémentaires.
Le rapport de sécurité HP Wolf souligne également que, sur la base de sa visibilité, les archives représentent la méthode de livraison la plus populaire au premier semestre.
L’IA générative peut aider les acteurs de menace de niveau inférieur à écrire des logiciels malveillants en quelques minutes et à les personnaliser pour les attaques ciblant diverses régions et plates-formes (Linux, macOS).
Même s’ils n’utilisent pas l’IA pour créer des logiciels malveillants entièrement fonctionnels, les pirates informatiques s’appuient sur cette technologie pour accélérer leur travail lors de la création de menaces plus avancées.