Un malware infostealer distribué via un script PowerShell potentiellement généré par une IA
Powershell

Un malware infostealer distribué via un script PowerShell potentiellement généré par une IA

Par Francois , le 12 avril 2024 , mis à jour le 7 mai 2024 — ia, infostealer, malware, script powershell, sécurité informatique - 3 minutes de lecture
Partager cet article :

Un malware infostealer distribué via un script PowerShell potentiellement généré par une IA

En mars 2024, des chercheurs en sécurité ont détecté une campagne malveillante visant plusieurs organisations allemandes, attribuée au groupe de pirates TA547, également connu sous le nom de Scully Spider. Ce groupe, actif depuis 2017 et classé comme “initial access broker” (courtier d’accès initial), a également ciblé des organisations en Espagne, en Suisse, en Autriche et aux États-Unis.

Pour mener à bien leur attaque, les cybercriminels ont utilisé une technique sophistiquée : la génération d’un script PowerShell. Dans cette campagne, ils ont tenté d’usurper l’identité de la marque allemande Metro en envoyant des e-mails malveillants contenant une facture au format ZIP en pièce jointe. Pour échapper aux analyses de sécurité, ce fichier ZIP était protégé par le mot de passe “MAR26”. Une fois ouvert, il déclenchait l’exécution d’un script distant via PowerShell.

L’objectif final de cette attaque était d’infecter les machines des victimes avec un malware connu sous le nom de Rhadamanthys, qui est un infostealer. Ce type de logiciel malveillant a pour but de voler des informations sensibles, tels que des identifiants et des cookies, sur chaque machine infectée.

Un script PowerShell généré avec une IA ?

Detailed comments preceding each line of code in the PowerShell script.

Une particularité intéressante a été observée lors de l’analyse du script PowerShell utilisé par les cybercriminels : chaque ligne de code était précédée d’un commentaire très bien rédigé, semblable aux commentaires générés par une intelligence artificielle lorsqu’elle est sollicitée pour de l’aide sur une portion de code.

Lire aussi :  Albi sous le feu d'une attaque informatique majeure !

Les chercheurs en sécurité ont donc émis l’hypothèse que ce script avait été généré à l’aide d’une IA générative telle que ChatGPT, Gemini ou Microsoft Copilot. Bien que cette hypothèse ne soit pas confirmée à 100%, il y a de fortes chances que les cybercriminels aient utilisé l’IA pour écrire ou réécrire le code.

Il est important de noter que dans ce cas précis, l’IA n’avait aucune intention malveillante et ne pouvait pas anticiper que ce code serait utilisé pour propager un malware. Cependant, cette utilisation de l’IA soulève des questions sur la capacité des cybercriminels à exploiter les avancées technologiques pour mener leurs attaques de manière plus sophistiquée.

Cette découverte met également en évidence la nécessité pour les professionnels de la cybersécurité de rester constamment à jour et de se familiariser avec les nouvelles technologies et techniques utilisées par les cybercriminels. La lutte contre les attaques informatiques est un enjeu de plus en plus complexe, qui nécessite une expertise pointue et une veille constante.

Sources :
– Article original : Proofpoint
Bleeping Computer

Avatar photo

Francois

Bonjour, je m'appelle François et j'ai 29 ans. Je suis passionné par le scripting, le bash, le Powershell et les infrastructures Windows et Linux. Bienvenue sur mon site web.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.