Une campagne de logiciels malveillants intelligente livrant le nouveau logiciel malveillant des nouins cible les créateurs et les petites entreprises qui cherchent à améliorer leur productivité avec des outils d’IA.
Mais, dans une tournure inhabituelle, les acteurs de la menace ne déguisent pas les logiciels malveillants comme un logiciel légitime, mais comme du contenu / sortie créé par un outil d’IA à l’aspect légitime.
AI en tant que leurre d’ingénierie sociale
“Alors que l’IA se transforme en adoption grand public, des millions d’utilisateurs se tournent quotidiennement en outils alimentés par l’IA pour la création de contenu”, a noté le chercheur en sécurité de Morphiseec, Shmuel Uzan.
Lors de la recherche de tels outils en ligne, certains d’entre eux consulteront des groupes Facebook populaires et seront attirés par des publications virales sur les réseaux sociaux pour essayer certains de ces logiciels.
L’annonce du faux outil d’IA (source: Morphisec)
Certains utilisateurs peuvent ne pas vouloir télécharger de nouveaux logiciels, mais ils n’ont rien contre le téléchargement d’un fichier sur un service Web et ont reçu du contenu généré par l’IA.
“Une fois sur le faux site, les utilisateurs sont invités à télécharger leurs images ou vidéos, dans l’impression qu’ils utilisent une véritable IA pour générer ou modifier du contenu. À la dernière étape, les utilisateurs sont invités à télécharger leur contenu` `traité ”. En réalité, ils téléchargent sans le savoir un fichier malveillant”, a expliqué Uzan.
L’étape finale (source: Morphisec)
Le malware des nouins
Les victimes téléchargent ce qui ressemble à un fichier multimédia, mais c’est en fait un fichier zip (archive).
À l’intérieur de l’archive: un fichier avec un nom de fichier attendu (par exemple, le rêve vidéo machineai.mp4 ″) suivi d’une extension d’élevage (.exe) qui est difficile à repérer, car les attaquants ont mis de nombreux espaces blancs avant.
L’exécution de l’exécutable démarre la chaîne d’installation de logiciels malveillants en plusieurs étapes, qui se termine par l’infosteller de noodlophile et les charges utiles d’accès à distance XWorm entièrement chargées en mémoire.
Xworm est une menace connue, mais le nœudlophile est un nouvel ajout à l’écosystème des logiciels malveillants.
“Auparavant sans papiers dans des trackers ou des rapports publics de logiciels malveillants, ce voleur combine un vol d’identification du navigateur, une exfiltration du portefeuille et un déploiement d’accès à distance en option”, a noté Uzan.
Le logiciel malveillant communique avec les attaquants et exfiltre les informations via un bot télégramme. Il est vendu en ligne dans le cadre d’un modèle de logiciel malveillant en tant que service (MAAS) et est probablement distribué par différents acteurs de menace.
Dans cette campagne spécifique, le nom de l’outil / service d’IA malveillant est Luma Dreamachine, mais de nouveaux faux outils pourraient apparaître à tout moment et d’autres campagnes similaires peuvent déjà être en cours.
Abonnez-vous à notre alerte e-mail de Breaking News pour ne jamais manquer les dernières violations, vulnérabilités et menaces de cybersécurité. Abonnez-vous ici!
