Incidents associés
Un attaquant propose des outils d'IA prétendument génératrice aux utilisateurs de groupes Facebook, pour ensuite leur injecter des logiciels malveillants une fois leurs contenus téléchargés sur cet « outil » frauduleux.
Le fournisseur de sécurité Morphisec a détaillé une campagne du 8 mai dans laquelle des acteurs malveillants font la promotion de « plateformes à thème d'IA » sur des réseaux sociaux comme Facebook, proposant de générer des images, des vidéos, des sites web, des logos, etc., basés sur l'IA.
Cependant, une fois que l'utilisateur télécharge une image de référence, le faux site web « traite » le contenu et lui demande de télécharger un produit fini. Ce produit fini, du moins dans le cadre de cette campagne, est un logiciel malveillant. Dans un article de blog de recherche https://www.morphisec.com/blog/new-noodlophile-stealer-fake-ai-video-generation-platforms/, Shmuel Uzan, chercheur chez Morphisec, a détaillé les variantes de « Noodlophile Stealer », un malware couteau suisse qui « combine vol d'identifiants de navigateur, exfiltration de portefeuille et déploiement optionnel d'accès à distance ».
À l'heure où le LLM fait fureur, une campagne de malware comme celle-ci pourrait cibler non seulement les particuliers, mais aussi les petites entreprises cherchant à accéder à des outils marketing gratuits.
Fonctionnement de la campagne
Des acteurs malveillants créent des groupes Facebook prétendant proposer des outils d'IA générative aux utilisateurs, se faisant notamment passer pour le produit Dream Machine de Luma AI, un outil LLM par ailleurs légitime.
Ces groupes incluent des liens vers des sites web frauduleux et crédibles promettant de transformer des fichiers et des invites en divers supports multimédias et marketing. Il existe de nombreux groupes, chacun comptant des milliers d'abonnés, a expliqué M. Uzan. Une simple recherche sur les réseaux sociaux mène souvent à d'autres groupes de grande envergure, créant ainsi un réseau qui amplifie la portée et la visibilité de ces faux outils.
Comme indiqué, à la fin du traitement, le site web invite l'utilisateur à télécharger le fichier finalisé. C'est là qu'intervient le logiciel malveillant.
À l'étape finale, les utilisateurs sont invités à télécharger leur contenu "traité". En réalité, ils téléchargent sans le savoir un fichier malveillant, selon l'article de blog. Ce fichier installe un logiciel malveillant, tel que Noodlophile ou Noodlophile associé à XWorm, sur leurs systèmes, permettant aux attaquants de voler des données, de collecter des identifiants et potentiellement d'accéder à distance aux appareils infectés.
Noodlophile et les vers associés constituent la dernière étape d'une chaîne d'attaque qui commence par une série de composants téléchargés via ces faux sites web, tels qu'un chargeur .Net et des instructions pour un script de persistance. Noodlophile vole les identifiants de navigateur, les cookies et les cryptomonnaies avant de les envoyer à un bot Telegram. Les recherches de Morphisec incluent des indicateurs de compromission.
Noodlophile désigne le malware ainsi que son développeur, qui, selon Uzan, était probablement d'origine vietnamienne. Le malware est proposé dans le cadre de programmes de type « malware-as-a-service ».
Conseils aux défenseurs
Une campagne comme celle-ci est délicate, car les difficultés économiques, combinées à des budgets serrés, peuvent créer des situations où un employé de petite ou moyenne entreprise peut accéder à un site web et y voir une opportunité de créer des supports marketing à faible coût, voire gratuitement, pour finalement être compromis, faute d'avoir été formé pour éviter ce type de stratagèmes.
Michael Gorelik, directeur technique de Morphisec, explique à Dark Reading que les principales cibles de cette campagne sont les freelances, les passionnés d'IA, les PME et les utilisateurs lambda. Il ajoute que des infections ont été constatées dans des entreprises de taille moyenne, notamment dans au moins un cas où une charge utile de vol a été bloquée avant son exécution complète.
M. Gorelik recommande aux défenseurs d'éviter les plateformes d'IA gratuites ou non vérifiées, dont l'origine n'est pas connue de sources fiables, et de respecter une stricte séparation entre activités professionnelles et personnelles. Il recommande également d'être prudent avec les fichiers d'archive téléchargés, tels que les fichiers .zip et .rar, et, bien sûr, de sensibiliser les utilisateurs aux tentatives de phishing et aux comportements à risque.