Rapport HP Wolf Security : les hackers utilisent l’IA pour créer des malwares
octobre 2024 par HP Wolf Security
À l’occasion de l’évènement HP Imagine, HP Inc. a publié son nouveau rapport HP Wolf Security Threat Insights Report qui révèle notamment comment les hackers utilisent l’IA générative pour écrire des codes malveillants.
Dans un contexte d’évolution rapide et continue des menaces cyber, ce rapport analyse des cyberattaques afin d’aider les organisations à connaitre et identifier les dernières techniques utilisées par les hackers. Sur la base des données recueillies auprès de millions d’équipements intégrant la suite HP Wolf Security, les chercheurs ont fait les constats suivants :
L’IA générative participe au développement de malwares : Il était déjà connu que les cybercriminels utilisent l’IA générative pour créer des leurres d’hameçonnage crédibles. A ce jour, nous avions peu de données qui indiquaient que les hackers utilisent des outils d’IA générative pour l’écriture de code malveillant. HP a identifié une campagne ciblant des personnes francophones qui utilise VBScript et JavaScript, du code probablement écrit à l’aide d’IA générative. En effet, la structure des scripts, les commentaires expliquant chaque ligne de code et le choix de noms de fonctions et de variables indiquent que le cyber malfaiteur a utilisé l’IA générative pour coder le malware. Ce logiciel vise à infecter les utilisateurs via le programme AsyncRAT, disponible gratuitement, un infostealer (voleur d’informations) facile à obtenir, qui enregistre l’écran et les frappes au clavier des victimes. Cette campagne démontre à quel point l’IA générative facilite l’attaque et l’infection des équipements IT.
Des fausses campagnes de publicité menant à des outils de conversion de PDF fonctionnels mais malveillants : les campagnes ChromeLoader prennent de l’ampleur et sont de plus en plus sophistiquées. Elles s’appuient sur des publicités malveillantes autour de mots-clés de recherche populaires pour diriger les victimes vers des sites web extrêmement bien conçus, et proposant des outils plébiscités tels que des lecteurs et convertisseurs PDF. Mais ces applications efficaces cachent un code malveillant dans un fichier MSI. De plus, les certificats de signature de code contournent les politiques de sécurité de Windows et les avertissements utilisateurs, augmentant ainsi le risque d’infection. L’installation de ces fausses applications permet aux cyberattaquants de prendre le contrôle des navigateurs des victimes et de rediriger les utilisateurs vers les sites qu’ils contrôlent.
Des malwares cachés dans des images SVG (Scalable Vector Graphics) : certains cybercriminels s’écartent de la tendance des fichiers HTML au profit des images, et plus précisément les images vectorielles, pour diffuser des malwares. Largement utilisées dans la conception graphique, les images vectorielles utilisent généralement le format SVG basé sur XML. Comme ces fichiers SVG s’ouvrent automatiquement dans les navigateurs, tout code JavaScript intégré est exécuté lors de la visualisation de l’image. Alors que les victimes pensent simplement visualiser une image, elles interagissent avec un format de fichier plus complexe qui entraîne l’installation de plusieurs types de malwares et notamment les infostealer.
Exemple de code probablement écrit à l’aide de l’IA générative
Exemple d’un faux site web d’outil de conversion PDF, menant à ChromeLoader, un malware qui vole les données liées aux navigateurs
Patrick Schläpfer, Principal Threat Researcher au HP Security Lab, explique :
"Les suppositions sur l’utilisation de l’IA par les cyberattaquants sont nombreuses, mais les preuves concrètes sont rares. En règle générale, les hackers cherchent à dissimuler leurs intentions et leurs méthodes. Avec ces nouvelles données de HP Wolf Security, il semble qu’un assistant IA a été utilisé pour aider les cybercriminels à concevoir leur code. De telles capacités pourraient représenter de nouvelles menaces. Elles permettent à des novices sans compétences de codage d’écrire des scripts, de développer des chaînes de virus et de lancer des attaques plus dangereuses."
En isolant les menaces qui ont échappé aux outils de détection traditionnels, tout en permettant aux malwares de s’exécuter dans un environnement encadré et sécurisé, HP Wolf Security a une vision précise des dernières techniques utilisées par les hackers. À ce jour, les clients de HP Wolf Security ont cliqué sur plus de 40 milliards de pièces jointes, de pages web et de fichiers téléchargés sans qu’aucune infection n’ait été signalée.
Le rapport, qui examine les données du deuxième trimestre 2024, montre que les cybercriminels continuent de diversifier leurs méthodes d’attaques pour contourner les politiques de sécurité et les outils de détection :
Au moins 12 % des menaces par courrier électronique identifiées par HP Sure Click ont contourné un ou plusieurs passerelles de messagerie.
Les principaux vecteurs de menace au deuxième trimestre étaient les pièces jointes d’emails (61 %), les téléchargements à partir de navigateurs (18 %) et d’autres moyens – incluant les clés USB et les outils de partages de fichiers - 21 %.
Les archives étaient le type de diffusion de malwares le plus répandu (39 %), dont 26 % étaient des fichiers ZIP.
Le Dr. Ian Pratt, Global Head of Security for Personal Systems chez HP Inc, ajoute :
"Les cybercriminels actualisent constamment leurs méthodes, qu’il s’agisse d’utiliser l’IA pour améliorer les attaques ou de créer des outils tout à fait fonctionnels mais malveillants, pour contourner les solutions de détection. Les entreprises doivent donc renforcer leur résilience en condamnant les vecteurs d’attaque. L’adoption d’une stratégie de défense complète - y compris l’isolement des activités à haut risque comme l’ouverture des pièces jointes des emails ou les téléchargements sur le web - permet de minimiser la surface d’attaque et d’éviter le risque d’infection."
HP Wolf Security exécute les tâches risquées telles que l’ouverture de pièces jointes, le téléchargement de fichiers et le clic sur des liens dans des micromachines virtuelles (micro-VM) isolées pour protéger les utilisateurs. Il enregistre également des informations détaillées sur les tentatives de piratage. La technologie d’isolation des applications de HP limite les menaces qui pourraient échapper à d’autres outils de sécurité. Elle fournit de surcroît de précieuses informations sur les nouvelles techniques d’intrusion et sur le comportement des cybercriminels.