Un nouveau rapport de HP Wolf Security révèle comment les attaquants utilisent l’intelligence artificielle générative pour aider à écrire du code malveillant. L’équipe de recherche sur les menaces de HP a découvert une campagne sophistiquée de ChromeLoader qui se propage à travers de la publicité malveillante, ainsi que des cybercriminels qui intègrent du code malveillant dans des images SVG.
L’IA générative assiste dans le développement de logiciels malveillants
Les chercheurs de HP ont identifié une campagne ciblant des francophones utilisant un logiciel malveillant qui aurait été écrit avec l’aide de l’IA générative. La structure des scripts, les commentaires expliquant chaque ligne de code et le choix des noms de fonctions et de variables dans la langue maternelle sont de forts indicateurs que l’acteur de la menace a utilisé l’IA générative pour créer le logiciel malveillant.
Patrick Schläpfer, chercheur principal en menaces au laboratoire de sécurité de HP, a commenté : « La spéculation sur l’utilisation de l’IA par les attaquants est répandue, mais les preuves ont été rares, donc cette découverte est significative. Typiquement, les attaquants aiment cacher leurs intentions pour éviter de révéler leurs méthodes, donc ce comportement indique qu’un assistant IA a été utilisé pour aider à rédiger leur code ».
Des campagnes de publicité malveillante de plus en plus sophistiquées
Le rapport souligne également que les campagnes de ChromeLoader deviennent plus grandes et plus polies. Ces campagnes utilisent de la publicité malveillante autour de mots-clés de recherche populaires pour diriger les victimes vers des sites web bien conçus qui offrent des outils fonctionnels tels que des lecteurs et convertisseurs de PDF.
Ces applications apparemment légitimes cachent du code malveillant dans un fichier MSI. Les certificats de signature de code valides permettent de contourner les politiques de sécurité de Windows et les avertissements des utilisateurs, augmentant la probabilité d’infection.
Logiciel malveillant caché dans des images vectorielles
Dans une tendance inhabituelle, certains cybercriminels passent des fichiers HTML aux images vectorielles pour faire passer en contrebande des logiciels malveillants. Les images vectorielles, largement utilisées dans la conception graphique, utilisent couramment le format SVG basé sur XML. Comme les SVG s’ouvrent automatiquement dans les navigateurs, tout code JavaScript intégré est exécuté lors de la visualisation de l’image.
Implications pour la cybersécurité
Le Dr Ian Pratt, Directeur mondial de la sécurité pour les systèmes personnels chez HP Inc., a commenté ces découvertes : « Les acteurs de menaces mettent constamment à jour leurs méthodes, que ce soit en utilisant l’IA pour améliorer les attaques ou en créant des outils fonctionnels mais malveillants pour échapper à la détection. Par conséquent, les entreprises doivent construire de la résilience en fermant autant de voies d’attaque communes que possible ».
Le rapport souligne la nécessité pour les organisations d’adopter une stratégie de défense en profondeur, y compris l’isolement des activités à haut risque telles que l’ouverture de pièces jointes d’e-mails ou de téléchargements Web. Ces mesures aident à minimiser la surface d’attaque et à neutraliser le risque d’infection.