Dans une révélation choquante, des escrocs en ligne ont manipulé l’engouement autour de l’intelligence artificielle générative en une campagne malveillante qui sévit depuis un an. Selon un rapport de la société de renseignement sur les menaces Google Mandiant, ces fraudeurs distribuent des infostealers et des portes dérobées sous l’apparence d’utilitaires d’IA.
La Stratégie Trompeuse
Dans un retournement habile, le groupe d’acteurs de la menace surnommé UNC6032, apparemment lié au Vietnam, a exploité des milliers de publicités trompeuses principalement diffusées sur des plateformes comme Facebook et LinkedIn. Se faisant passer pour des entités légitimes telles que Luma AI, Canva Dream Lab et Kling AI, ces publicités dirigent les utilisateurs non méfiants vers des sites web falsifiés presque identiques. Ici, au lieu du contenu généré par l’IA promis, les utilisateurs reçoivent un fichier chargé de malware, censé être un outil de génération vidéo par IA.
Un Impact Répandu
L’examen approfondi de Mandiant a révélé que ces publicités ont atteint environ 2,3 millions de personnes au sein de l’Union européenne uniquement. Ces données alarmantes font écho aux découvertes précédentes de la société de sécurité Morphisec, rapportant des observations similaires.
Les Techniques d’Évasion
Ce qui distingue UNC6032, c’est leur agilité à éviter la détection. Les domaines nouvellement enregistrés sont rapidement utilisés dans les publicités, parfois quelques heures seulement après leur mise en ligne. Ces domaines sont soutenus par des comptes Facebook compromis, par lesquels des publicités trompeuses sont continuellement publiées. Selon les rapports, certaines publicités LinkedIn ont potentiellement atteint jusqu’à 250 000 personnes via le site frauduleux klingxai.com.
Malware Déguisé en IA
Les faux sites imitent de près les interfaces et logos des services d’IA authentiques. Un site frauduleux, représenté comme la ‘Luma Dream AI Machine’, présentait des options classiques de création vidéo. Lors de l’interaction avec l’utilisateur, le site simulait une séquence de traitement avant d’afficher un bouton de ‘téléchargement’ masquant une archive zip malveillante. Le malware, Starkveil, inclus dans cette archive, comprend des familles modulaires comme Grimpull, XWorm et Frostrift, capables de vol de données et de compromettre des systèmes.
Innovations dans la Livraison de Malware
Conçu en Rust, Starkveil utilise des techniques ingénieuses telles que le truc de la double extension à l’aide de caractères Unicode braille invisibles pour cacher des fichiers exécutables malveillants sous des types de fichiers inoffensifs. Après exécution, Starkveil libère des archives intégrées dans des processus Windows de confiance, se servant de l’obfuscation pour rester indétecté.
Une Menace Continue
Les mises à jour régulières de l’infrastructure du groupe malveillant leur permettent d’héberger des charges utiles en constante évolution. Leurs tactiques résilientes incluent l’obfuscation dynamique des charges utiles, rendant la détection statique de plus en plus difficile. Le malware continue de gagner en persistance en intégrant des clés de registre AutoRun et en chargant en mémoire des DLLs malveillantes via des routes exécutables légitimes.
Réponses Législatives et de Cybersécurité
Le rapport souligne les actions entreprises par Meta pour démanteler ces publicités nuisibles et éliminer les domaines associés à leur propagation. De plus, LinkedIn a introduit des outils de transparence fournissant des informations sur la portée des publicités et les schémas de ciblage, aidant les enquêteurs à évaluer l’ampleur de l’exposition.
Selon GovInfoSecurity, cette campagne malveillante sert de rappel glaçant de la bataille continue contre la cybercriminalité, exigeant vigilance et adaptation rapide de la part des entités de cybersécurité du monde entier.