2024-04-11 16:57:41
Proofpoint a des raisons de croire que les Large Language Models ont été utilisés dans le cadre d’une campagne de malware contre des entreprises allemandes.
Photo : inspirant.team | Shutterstock.com
Les chercheurs et les experts en sécurité préviennent depuis un certain temps que la prévalence croissante de logiciels malveillants plus puissants grands modèles de langage (Large Language Models ; LLM) abaisse la barrière à l’entrée pour les cyberattaques. Enfin, ils permettent entre autres :
Si les attaquants peuvent coder eux-mêmes, ils pourraient toujours utiliser des assistants IA pour atteindre leur objectif plus rapidement. Tout comme l’acteur malveillant TA547, un groupe de hackers qui agit comme courtier d’accès initial pour d’autres cybercriminels et, par exemple, offre un accès à des systèmes compromis en échange d’argent.
Le groupe a récemment lancé une campagne de malware contre des entreprises allemandes de nombreux secteurs. Les cybercriminels utilisent le voleur d’informations Rhadamanthe celui qui est distribué à l’aide d’un script Powershell. Ce dernier a très probablement été créé à l’aide d’un modèle de langage étendu – du moins c’est ce que pensent les experts en sécurité de Proofpoint. une analyse actuelle à cette conclusion.
Dans un nouveau rapport, @threatinsight détaille les nouvelles techniques de l’acteur malveillant TA547, qui semble utiliser un script PowerShell que les chercheurs soupçonnent d’avoir été généré par un grand modèle de langage (#LLM) tel que #ChatGPT, #Gémeaux, #Copiloteou autre.
Blog complet : https://t.co/Kesrii0eF2
– Aperçu des menaces (@threatinsight) 10 avril 2024
Bien qu’il soit difficile de prouver qu’un contenu malveillant a été créé à l’aide d’un LLM, ce contenu présentait certaines caractéristiques qui indiquent qu’il s’agissait d’informations générées par une machine, écrivent les experts en sécurité, précisant : « Le script PowerShell contenait des caractères dièse suivis de caractères grammaticalement corrects et hyper. -des commentaires spécifiques sur chaque composant du script. Ceci est typique de Outils de codage pris en charge par LLM et suggère que TA547 a utilisé la technologie pour écrire – ou réécrire – le script Powershell après l’avoir copié à partir d’une autre source.
TA547 est actif depuis fin 2017 et a mené diverses campagnes de malware au cours des dernières années. Dans le cadre de sa dernière campagne, l’auteur de la menace a utilisé une adresse e-mail provenant soi-disant de la société de vente en gros Metro. e-mail d’originepour attaquer des dizaines d’entreprises allemandes de divers secteurs. Les e-mails de phishing contiennent une archive ZIP protégée par mot de passe – le mot de passe associé se trouve dans le texte du message. L’archive contient à son tour un fichier LNK qui appelle le PowerShell Runtime pour exécuter le script (hébergé à distance). Ce script secondaire est un chargeur de malware car son objectif est de décoder un exécutable stocké dans une variable pour le voleur d’informations Rhadamanthys – puis de le charger directement en mémoire et de l’exécuter. Il s’agit donc de Logiciel malveillant sans fichier – une technique couramment utilisée pour contourner les produits de sécurité des points de terminaison basés sur les fichiers.
“Cette campagne donne un aperçu de la manière dont les acteurs de la menace exploitent le contenu susceptible d’être créé avec le support LLM”, ont déclaré les chercheurs de Proofpoint. Les modèles de langage étendus pourraient aider les cybercriminels à mieux pénétrer les chaînes d’attaque plus sophistiquées des autres acteurs de la menace, puis à utiliser ces techniques pour leurs propres campagnes. Cependant, selon Proofpoint, il est important de noter que même si TA547 intègre très probablement du contenu généré par LLM dans sa chaîne d’attaque, la fonctionnalité et l’efficacité de la charge utile sous-jacente n’ont pas changé : « Des logiciels malveillants ou des scripts contenant du code généré par la machine sont en cours d’exécution. “continuer à être dans un bac à sable ou via un hébergeur et ainsi déclencher des mesures de défense automatisées”, écrivent les professionnels de la sécurité. Bien entendu, cela nécessite également des systèmes de détection adaptés, basés sur le comportement. (fm)
Souhaitez-vous lire des articles plus intéressants sur le thème de la sécurité informatique ? Notre newsletter gratuite fournit tout ce que les décideurs et les experts en sécurité devraient savoir, directement dans votre boîte de réception.
Recevez la newsletter des OSC maintenant
Cet article est basé sur un article de notre publication sœur américaine CSO Online.
#Rapport #Proofpoint #sur #TA547 #les #logiciels #malveillants #basés #sur #lIA #ciblent #les #entreprises #allemandes
1712861956