Une cyberattaque reposant en partie sur l’IA cherche à prendre le contrôle de l’ordinateur des internautes en France. Elle propage un redoutable malware open source depuis le mois de juin 2024.
De plus en plus de cybercriminels se servent de l’IA dans le cadre de leurs activités. Depuis l’essor des intelligences artificielles génératives dans le sillage de ChatGPT, de nombreux pirates en herbe s’appuient en effet sur les modèles de langage pour les aider à concevoir des logiciels malveillants. Peu qualifiés, ces apprentis hackers peuvent désormais confier une panoplie de tâches différentes, et trop complexes pour eux, à une IA. De facto, on trouve de plus en plus de scripts malveillants en partie codés à l’aide de l’IA sur la toile.
À lire aussi : Vol de données – une cyberattaque mondiale est en cours sur Windows et macOS
Des pirates armés avec l’IA
D’après l’enquête réalisée par les chercheurs de HP Wolf Security, une cyberattaque identifiée en juin a été en partie programmée par une intelligence artificielle. Les pirates « utilisent l’intelligence artificielle générative (GenAI) pour créer des leurres de phishing convaincants depuis un certain temps, mais il y a eu peu de preuves d’attaquants utilisant cette technologie pour écrire du code malveillant » jusqu’à présent, indique le rapport.
En fouillant dans le code des scripts impliqués, les experts ont découvert une série de commentaires qui sont vraisemblablement le fruit d’une IA. Comme l’indiquent les chercheurs, les cybercriminels ne prennent jamais la peine de commenter leurs lignes de code. Au contraire, les hackers évitent d’ajouter des indications à leur code pour empêcher que le fonctionnement de leur logiciel soit trop évident. En général, les hackers obscurcissent même le code. C’est-à-dire qu’ils rendent le code source d’un logiciel difficile à comprendre pour quiconque essaierait de l’analyser ou de le modifier. Par exemple, ils vont renommer des variables avec des noms aléatoires, complexifier les structures, chiffrer certaines parties, ajouter des opérations inutiles ou modifier l’ordre d’exécution des instructions.
En fait, « l’attaquant avait laissé des commentaires tout au long du code, décrivant ce que fait chaque ligne, même pour des fonctions simples ». Ces commentaires proviennent plutôt d’une IA. Les chatbots ont en effet l’habitude de commenter et d’expliciter toutes leurs lignes de code pour expliquer leur démarche à leurs interlocuteurs.
« Ces commentaires décrivent exactement ce que fait le code, de la même manière que les services d’IA génératifs peuvent créer un code exemplaire accompagné d’explications », explique HP Wolf Security.
Par ailleurs, la structure et « le choix des noms et des variables des fonctions des scripts » laissent bien penser qu’une IA a été impliquée dans la conception de l’offensive. En l’occurrence, les hackers n’ont eu qu’à concevoir la chaine d’infection à l’origine de l’attaque en utilisant l’IA. AsyncRAT (Asynchronous Remote Access Trojan), le virus au cœur de l’opération, est en effet accessible en open source.
« Comme il est si facile à obtenir, tout ce que l’acteur de la menace doit faire est de développer une chaîne d’infection pour diffuser et installer le logiciel malveillant », souligne HP Wolf Security.
C’est un malware taillé pour prendre le contrôle d’un ordinateur. Contrairement à d’autres types de chevaux de Troie, le virus fonctionne de manière asynchrone. Il ne nécessite pas une connexion continue entre l’attaquant et la machine compromise. Cela permet au hacker de contrôler l’ordinateur infecté en toute impunité, de siphonner des données ou d’espionner les cibles via la webcam. Il peut aussi installer d’autres virus ou enregistrer tous les mots tapés sur le clavier.
Un malware qui rode en France
Le virus a été repéré lors d’une vaste campagne de phishing ciblant les internautes qui résident en France. Au début du mois de juin 2024, les chercheurs ont en effet découvert la présence d’AsyncRAT dans une fausse facture envoyée par mail à des Français. La facture, en pièce jointe, contient un fichier ZIP protégé par un mot de passe qui aboutit à l’installation du virus sur la machine. Évidemment, les cybercriminels fournissent le mot de passe dans le corps du courriel.
L’essor de l’IA générative s’accompagne d’une accélération du nombre de cyberattaques, alerte le rapport. Avec l’IA, les pirates non qualifiés peuvent aisément s’affranchir de leurs propres limites et compromettre des appareils. Dans ces conditions, on invite les internautes à redoubler de prudence.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
HP Wolf Security