Étiquette : Malware Page 2 of 7

Intelligence artificielle, ChatGPT et cybersécurité

On 10/12/2023

L’intelligence artificielle et des outils comme ChatGPT révolutionnent le domaine de la cybersécurité. Cet article s’intéresse à la dualité de l’IA : un potentiel immense pour renforcer nos défenses numériques, tout en présentant de nouveaux défis et opportunités pour les acteurs malveillants. Nous plongerons dans l’impact de ces technologies avancées et leur rôle dans le paysage changeant de la sécurité informatique.

ChatGPT dans la recherche sur la sécurité

Lorsqu’on lui pose la question, l’outil lui-même nous informe des nombreuses façons dont il peut être utile aux services de renseignement sur les menaces, qui peuvent être résumées comme suit :

Fournir des informations et servir d’outil de recherche avancée.
Favoriser l’automatisation des tâches, en réduisant le temps consacré aux tâches plus mécaniques et nécessitant une analyse moins détaillée.

Capture d’écran d’une conversation avec ChatGPT sur le sujet de l’article.

L’intelligence artificielle est devenue un pilier dans le domaine de la cybersécurité, facilitant la classification automatique des contenus en ligne. Des sociétés comme Microsoft capitalisent sur cette technologie, intégrant des outils d’IA dans des services tels que Bing et Azure OpenAI, et envisagent son application dans Microsoft Sentinel pour améliorer la gestion des incidents de sécurité. Parallèlement, l’IA aide à formuler des règles sophistiquées pour la détection d’activités suspectes, à l’instar des règles YARA. De son côté, Google prévoit d’introduire Bard, son propre outil d’IA, dans son moteur de recherche prochainement.

ChatGPT dans la cybercriminalité

De l’autre côté de la cybersécurité, on trouve également de multiples applications d’outils tels que ChatGPT, même s’ils sont initialement conçus pour empêcher leur utilisation à des fins illicites.

Au début du mois de janvier 2023, les chercheurs de CheckPoint ont signalé l’émergence de messages sur des forums clandestins discutant de méthodes pour contourner les restrictions du ChatGPT afin de créer des logiciels malveillants, des outils de cryptage ou des plateformes commerciales sur le deep web. En ce qui concerne la création de logiciels malveillants, les chercheurs qui ont tenté de réaliser des POC sont parvenus à la même conclusion :

ChatGPT est capable de détecter si une requête demande directement la création d’un code malveillant

Toutefois, en reformulant la demande de manière plus créative, il est possible de contourner ces défenses pour créer des logiciels malveillants polymorphes ou des keyloggers avec quelques nuances.

Le code généré n’est ni parfait ni complet et sera toujours basé sur le matériel sur lequel l’intelligence artificielle a été entraînée, mais il ouvre la porte à la génération de modèles capables de développer ce type de logiciels malveillants.

Réponse de ChatGPT sur la création de logiciels malveillants par l’IA

Une autre des utilisations illicites possibles de ChatGPT est la fraude ou l’ingénierie sociale. Parmi les contenus que ces outils peuvent générer, on trouve des courriels de phishing conçus pour inciter les victimes à télécharger des fichiers infectés ou à accéder à des liens qui peuvent compromettre leurs données personnelles, leurs informations bancaires, etc. Sans que l’auteur de la campagne n’ait besoin de maîtriser les langues utilisées dans la campagne, ni d’écrire manuellement l’une d’entre elles, en générant automatiquement de nouveaux thèmes sur lesquels baser la fraude.

De manière générale, que l’outil soit capable de fournir un code ou un contenu complet et prêt à l’emploi ou non, ce qui est certain, c’est que l’accessibilité de programmes tels que ChatGPT peut réduire la sophistication nécessaire pour mener des attaques qui, jusqu’à présent, nécessitaient des connaissances techniques plus étendues ou des compétences plus développées.

Ainsi, les acteurs de la menace qui se limitaient auparavant à lancer des attaques par déni de service ont pu passer au développement de leurs propres logiciels malveillants et à leur diffusion dans le cadre de campagnes d’hameçonnage par courrier électronique.

Les nouveaux modèles d’IA tels que ChatGPT, comme toutes les autres avancées technologiques, peuvent être utilisés aussi bien pour soutenir le progrès et améliorer la sécurité que pour l’attaquer.

Pour l’instant, les cas réels d’utilisation de ce type d’outils pour commettre des délits dans le cyberespace sont anecdotiques, mais ils nous permettent d’imaginer le paysage possible de la cybersécurité dans les années à venir.

La mise à jour constante des connaissances est une fois de plus essentielle pour les chercheurs et les professionnels dans le domaine de la technologie.

Le grand danger de l’intelligence artificielle est que les gens en viennent trop vite à la conclusion qu’ils la comprennent.
Eliezer Yudkowsky

Plus d’information:
https://fr.wikipedia.org/wiki/Intelligence_artificielle
https://azure.microsoft.com/en-us/products/ai-services/openai-service
https://www.cisa.gov/sites/default/files/FactSheets/NCCIC%20ICS_FactSheet_YARA_S508C.pdf
https://research.checkpoint.com/2023/opwnai-cybercriminals-starting-to-use-chatgpt/
https://www.cyberark.com/resources/threat-research-blog/chatting-our-way-into-creating-a-polymorphic-malware
https://www.deepinstinct.com/blog/chatgpt-and-malware-making-your-malicious-wishes-come-true

Attention aux petites annonces…

de jabot

On 27/01/2023

dans Ransomware, Sécurité

Le moteur de recherche Google souffre d’un effet indésirable sur la sécurité de ses clients. Les attaquants achètent des publicités pour apparaître en tête des résultats de recherche.

Ainsi, lorsqu’un utilisateur recherche des outils populaires tels que WinRar, 7-zip, VCL, Rufus, etc., le moteur de recherche présente d’abord une publicité pour un site qui ressemble beaucoup à la page originale et légitime du programme. Au lieu de cela, un exécutable est téléchargé qui, une fois lancé, ne fait apparemment rien. Cependant, il volera toutes les sessions possibles et les réseaux sociaux de la victime. Un influenceur bien connu a tiré la sonnette d’alarme après avoir été victime de cette attaque et « avoir vu tous les canaux vers sa communauté, sa famille et ses amis compromis ». Ces derniers jours, même les annonces génériques de Google ont été touchées. Ils se font également passer pour des outils légitimes et les logiciels malveillants installés se sont orientés vers différentes formes de ransomware.

Le moteur de recherche souffre de ce problème depuis plusieurs jours. Les attaquants profitent de la possibilité d’acheter des publicités, de les placer en tête des recherches et, ce faisant, de ne pas vérifier leur légitimité. Après avoir été signalées par certaines victimes, elles sont retirées à la main. Mais cela se produit encore et encore.

Plus d’information:
https://www.bleepingcomputer.com/news/security/ransomware-access-brokers-use-google-ads-to-breach-your-network/

Aperçu des attaques DDoS en 2022

de jabot

On 04/12/2022

dans Malware, Ransomware, Sécurité

Alors que nous approchons de la fin de l’année, nous pouvons observer la trajectoire des cyberattaques par déni de service distribué. Comme on pouvait s’y attendre, les attaques DDoS sont de plus en plus fréquentes et de plus en plus importantes. Au troisième trimestre 2022, Cloudflare a automatiquement détecté et atténué plusieurs attaques de plus de 1 Tb/s.

La plus importante d’entre elles était une attaque DDoS de 2,5 Tb/s. Il a été lancé par une variante du botnet Mirai et visait un serveur Minecraft appelé Wynncraft. Du point de vue du débit binaire, il s’agit de la plus grande attaque à laquelle Cloudflare ait jamais été confronté.

L’attaque consistait en une inondation UDP (User Datagram Protocol) et TCP (Transmission Control Protocol). Cependant, Wynncraft, le serveur de jeux vidéo multijoueurs où des milliers d’utilisateurs peuvent jouer en même temps, n’a pas remarqué l’attaque. Cloudflare l’a divulgué avant que ses effets ne se fassent sentir, et le service n’a pas été interrompu.

Tendances actuelles relevées par CloudFlare au cours du dernier trimestre

Une augmentation du nombre d’attaques DDoS par rapport aux chiffres de l’année dernière.

Les attaques volumétriques ont augmenté en durée, augmentant par conséquent la taille du trafic envoyé aux victimes, dont une grande partie est due au botnet Mirai et à ses variantes. Plus précisément, les attaques DDoS de niveau 3/4 lancées par les botnets Mirai ont augmenté de 405 % par rapport au trimestre précédent.

Géographiquement, les attaques contre les zones taïwanaises et japonaises ont augmenté.

Les attaques DDoS HTTP contre Taïwan ont augmenté de 200 % par rapport au trimestre précédent et celles contre le Japon de 105 % au cours de la même période. À Taïwan, 50 % des victimes étaient des médias de la presse et des médias en ligne. Au Japon, les attaques contre les infrastructures gouvernementales ont également été importantes (11 %).

Le nombre d’attaques DDoS HTTP (attaques de la couche application) a augmenté de 111 % par rapport à l’année dernière, mais a diminué de 10 % par rapport au trimestre précédent de 2022.
Le nombre d’attaques DDoS au niveau de la couche réseau (couches 3/4) a augmenté de 97 % par rapport à l’année dernière et de 24 % par rapport au trimestre précédent. Le secteur qui a subi le plus d’attaques de la couche réseau est celui des jeux et paris. Les cyberattaques dans le secteur des jeux ont augmenté de 167 % l’année dernière, selon le fournisseur de services de cybersécurité Akamai.
15% de toutes les attaques DDoS enregistrées par CloudFlare au troisième trimestre étaient accompagnées d’une menace ou d’une demande de rançon. Cela représente une augmentation de 15 % en glissement trimestriel des attaques DDoS par ransomware signalées et une augmentation de 67 % par rapport à la même période de l’année dernière.

Plus d’information :
https://blog.cloudflare.com/fr-fr/cloudflare-ddos-threat-report-2022-q3-fr-fr/

Du code malveillant dans plus de 1000 images Docker

de jabot

On 30/11/2022

dans Malware, Sécurité

La société Sysdig a découvert que plus d’un millier d’images de conteneurs hébergées sur le populaire dépôt Docker Hub contiennent du code malveillant, ce qui présente un grand risque de subir une cyberattaque. Cette information a été rendue publique par un rapport de la même société, où l’on indique que les images contiendraient des actifs malveillants de différents types tels que des cryptomineurs, des portes dérobées et des détourneurs de DNS.

Les images de conteneurs sont des « modèles » avec lesquels nous pouvons déployer des applications rapidement et facilement, sans devoir repartir de zéro puisque certaines fonctionnalités sont réutilisées. Les images sont téléchargées à partir de Docker Hub, ce site web permet aux utilisateurs de charger et de télécharger ces images dans sa bibliothèque publique, y compris les images officielles des développeurs de logiciels.

Le projet de bibliothèque Docker examine ces images et vérifie celles qu’il considère comme sûres, mais beaucoup restent non vérifiées. Sysdig a analysé automatiquement 250 000 images Linux non vérifiées et a constaté que 1 652 d’entre elles contenaient des éléments malveillants.

Sysdig a déclaré que ces images contenaient des « clés intégrées » qui permettent à un attaquant d’obtenir un accès après l’installation du conteneur en chargeant la clé publique depuis un serveur distant, ce qui permet au propriétaire de la clé privée correspondante d’ouvrir un shell et d’exécuter des commandes via SSH, ce qui revient à installer une porte dérobée.

Une technique utilisée par les attaquants pour faire télécharger leurs images malveillantes consiste à leur donner un nom presque identique, à quelques variantes près, à celui d’une image populaire et sûre. Ce phénomène, appelé typosquattage, est une stratégie populaire et fructueuse utilisée par les cyberattaquants sur des images compromises ou des versions non officielles d’images populaires et fiables dans l’espoir que les utilisateurs ne le remarquent pas et téléchargent leur version frauduleuse à la place.

Sysdig affirme que cette année, le nombre d’images retirées de la bibliothèque publique en raison de tels incidents a augmenté d’environ 15 %. Ce n’est qu’un indicateur que le problème ne fait que commencer, et il est recommandé de faire particulièrement attention aux images que vous téléchargez et utilisez.

Plus d’information:
https://www.techradar.com/news/over-a-thousand-docker-container-images-found-hiding-malicious-content

Sécurité ? Mais qui donc va m’attaquer ?

de jabot

On 28/11/2022

dans Malware, Phishing, Ransomware, Sécurité

Il y a actuellement une plus grande acceptation de la sécurisation des systèmes informatiques des entreprises et des institutions publiques, surtout après l’irruption du ransomware Wannacry en mai 2017. Toutefois, cette acceptation n’est pas totale, et de nombreuses entreprises et personnes ordinaires hésitent encore à le faire, se posant la même question : « Mais qui donc va m’attaquer ? ».

Depuis que Wannacry est devenu public en mai 2017, les entreprises ont commencé à être plus conscientes de la nécessité de mettre en place un système sécurisé dans leurs équipements et services, mais il y a encore beaucoup d’institutions qui n’ont pas mis en place ce type de système et, si elles l’ont fait, elles n’ont pas mis en œuvre des politiques de sécurité correctes.

Pourquoi des mesures ne sont-elles pas prises ?

Il existe plusieurs raisons pour lesquelles les entreprises et les particuliers ne prennent pas suffisamment de mesures, mais la plupart d’entre elles peuvent se résumer en un mot : désinformation.

Les médias d’information, pour la plupart, exposent les attaques menées contre les grandes entreprises ou institutions parce que ces nouvelles auront un grand impact et, de plus, il est plus difficile pour une petite entreprise de s’exposer publiquement. En outre, les informations diffusées dans les médias seront biaisées par ce que l’entreprise vous dit.

Une grande entreprise, par exemple, dira à un interlocuteur qu’elle est confrontée à un nouveau ransomware, un virus malveillant, ou que ses données ont été divulguées. Cependant, il ne dira normalement pas comment cela s’est produit ni quel était le vecteur d’entrée de l’attaquant, sauf à une autorité de cybersécurité (NCSC, NIST, CSIRT, etc.).

Phishing et vishing

Il est également possible qu’en raison du type de nouvelles sur les attaques qui apparaissent dans les médias, lorsque nous pensons à une attaque, nous pensons à un logiciel malveillant, à un ransomware, à un virus… Cependant, nous ne pensons généralement pas aux attaques de phishing ou de vishing, qui sont des attaques d’ingénierie sociale.

Le phishing consiste à inciter une personne à partager des informations confidentielles, telles que des mots de passe ou des cartes de crédit, au moyen d’un lien envoyé par courrier électronique ou par SMS, en se faisant passer pour une autre entité.

Le vishing consiste également à inciter l’utilisateur à partager des informations, mais par le biais d’un appel électronique, et ne nécessite pas de connaissances informatiques pour mener à bien cette cyber-attaque.

Ces types d’attaques sont très courants de nos jours, outre le fait qu’ils constituent un important vecteur d’entrée dans le système et qu’avec un peu de sensibilisation, il est possible de les atténuer.

Quels sont les problèmes ?

Il y a deux problèmes majeurs :

Si les attaques montrées ne concernent que les grandes entreprises ou institutions, les gens pensent que, s’ils ne font pas partie de ces membres, ils ne seront pas attaqués. Par conséquent, les PME et les personnes ordinaires ne vont pas s’inquiéter de la sécurisation de leurs systèmes.
Si, en outre, ces actualités ne comportent pas les vecteurs d’entrée des attaquants, il est très probable qu’elles ne seront pas prises en compte dans les systèmes à sécuriser. Par exemple, un élément clé de la sécurisation d’un système est la sensibilisation, car un logiciel malveillant peut s’introduire par hameçonnage ou des données peuvent être volées par un simple hameçonnage vocal.

Et pourquoi les petites entreprises ne signalent-elles pas publiquement les attaques ?

Lorsqu’une petite entreprise est attaquée, deux choses principales peuvent se produire :

Si l’attaque n’est pas puissante et qu’ils y survivent, ils ne s’exposeront pas eux-mêmes dans les médias publics, car ils exposeraient que leurs systèmes ne sont pas sécurisés. Une grande entreprise a son public déjà établi, mais pas une PME, qui perdrait des opportunités de marché et pourrait donc facilement faire faillite.
Si l’attaque est puissante et que l’entreprise n’y survit pas, ce sont les responsables de la sécurité qui perdront ces opportunités de marché et peut-être même les chances de travailler à nouveau dans le secteur.

C’est pourquoi il y a tant de désinformation sur le sujet. Cependant, certains éléments, tels que ceux examinés dans cet article, nous permettent de vérifier qu’effectivement, les PME et les particuliers sont également attaqués.

Alors, que nous montrent-ils ?

Outre les méthodes d’information classiques, il existe des sites web et des éléments qui nous présentent ce type d’informations de manière plus détaillée, comme les analyses d’acteurs du marché (IBM, Kaspersky, etc…). En outre, vous pouvez également vous tenir au courant des dernières nouvelles sur ce sujet sur ce blog 🙂 .

Ces sites présentent les dernières vulnérabilités découvertes dans les systèmes informatiques, ainsi que des statistiques sur les attaques les plus courantes et les lieux où ces attaques ont été menées. Par exemple, Kaspersky présente ici des statistiques sur les cybermenaces financières en 2021.

Dans ces statistiques, on peut voir qu’il y a eu pas mal de campagnes de phishing (8,2%), principalement des attaques de phishing visant le commerce électronique. En outre, ces attaques visaient principalement les passerelles de paiement telles que Paypal ou Mastercard, qui sont des moyens de paiement largement utilisés par la population générale.

Il nous montre également les plateformes que les attaquants usurpent le plus, comme Apple, Amazon, eBay ou Alibaba, des sites web sur lesquels nous avons l’habitude d’acheter un grand nombre d’articles en permanence et auxquels, en cas d’attaque, nous devons être préparés pour éviter de nous faire dérober.

Conclusion

Aujourd’hui, de nombreuses personnes ne se soucient pas outre mesure de la protection de leurs données en ligne ou de la fourniture d’un service entièrement sécurisé. Ils pensent, à cause des médias, que rien ne leur arrivera et n’ont pas à l’esprit qu’ils sont les plus facilement attaqués.

Si une personne est capable de vous voler dans la vie réelle sans appartenir à une grande entreprise, pourquoi ne serait-elle pas capable de vous voler sur Internet ? Et si vous mettez des alarmes, des chiens de garde et des systèmes de surveillance sur votre porte d’entrée, pourquoi ne le feriez-vous pas sur vos systèmes virtuels ?

Ou encore plus simple : si vous verrouillez votre porte d’entrée chaque fois que vous sortez, même si vous ne travaillez pas pour une multinationale, pourquoi ne pas le faire sur le web ?

Plus d’information:
https://securelist.lat/financial-сyberthreats-in-2021/96250/
https://go.kaspersky.com/rs/802-IJN-240/images/KSB_statistics_2021_eng.pdf
https://www.ibm.com/reports/data-breach
https://www.ibm.com/reports/threat-intelligence/