Les techniques traditionnelles de malware profitent de plus en plus de l'intérêt pour ChatGPT et d'autres programmes d'IA générative, selon un rapport de Palo Alto Networks sur les tendances en matière de malware. « Entre novembre 2022 et avril 2023, nous avons constaté une augmentation de 910 % des enregistrements mensuels de domaines, bénins et malveillants, liés à ChatGPT », selon l'enquête de la division Unit42, la branche de recherche sur les menaces du fournisseur. Publié mardi, elle est basée sur des renseignements sur les menaces provenant de divers produits de l'éditeur remontant des données télémétriques de 75 000 clients dans le monde entier.

Le fournisseur a observé ces derniers mois une augmentation des tentatives d'imitation de l'interface ChatGPT par le biais de domaines squattés - des noms de sites web délibérément conçus pour ressembler à ceux de marques ou de produits populaires, dans le but de tromper les gens. Ces derniers peuvent entraîner des risques pour la sécurité et semer le doute chez les internautes, tout en créant des opportunités de profit pour les acteurs malveillants, par exemple par le biais de revenus publicitaires ou d'attaques frauduleuses, indique Palo Alto Networks.

Des exploits de failles en hausse

La popularité de ChatGPT a également entraîné l'apparition de grayware, c'est-à-dire de logiciels qui se situent entre le malveillant et le légitime. Cette catégorie comprend les programmes publicitaires, des logiciels espions et des programmes potentiellement indésirables. Les graywares ne sont peut-être pas explicitement dangereux, mais ils peuvent tout de même causer des problèmes ou porter atteinte à la vie privée. « Cela suggère que les cybercriminels cherchent à exploiter la popularité de ChatGPT pour diffuser des logiciels potentiellement indésirables ou nuisibles », poursuit Palo Alto Networks. La société affirme que les entreprises peuvent se préparer aux attaques de ces logiciels en continuant à utiliser les meilleures pratiques de défense en profondeur : « Les contrôles de sécurité qui défendent contre les attaques traditionnelles seront une première ligne de défense importante contre toutes les attaques liées à l'IA qui se développent à l'avenir ».

Dans son rapport, Palo Alto Networks indique également que le nombre de tentatives d'exploitation des vulnérabilités a augmenté de 55 % par client, en moyenne, l'année dernière. Une grande partie de cette augmentation peut être attribuée à la hausse des tentatives d'exploitation des vulnérabilités Log4j et Realtek. « Nous continuons à constater que les failles utilisant des techniques d'exécution de code à distance (RCE) sont largement exploitées, même celles qui datent de plusieurs années », indique l'éditeur. Pour s'assurer que les brèches anciennes et nouvelles sont corrigées régulièrement, les entreprises doivent mettre en œuvre un programme complet de gestion comprenant des évaluations régulières, des analyses et une hiérarchisation en fonction des niveaux de risque. 

« Développer un processus de gestion des correctifs bien défini qui comprend l'identification, le test, le déploiement et la vérification des correctifs dans tous les systèmes et applications. Surveiller en permanence les dernières failles en scrutant les avis et bulletins de sécurité et en se tenant au courant des dernières informations sur les menaces », a déclaré Royce Lu, ingénieur en chef chez Palo Alto Networks. « Développez une approche basée sur le risque pour hiérarchiser les vulnérabilités en fonction de leur gravité, de leur impact potentiel et de leur exploitabilité. Concentrez-vous sur la correction des failles critiques qui pourraient avoir l'impact le plus important sur les systèmes et les données de l'organisation ».

Les PDF en tant que vecteur initial d'infection

« Les PDF sont un vecteur initial couramment utilisé par les acteurs de la menace en raison de leur large utilisation et de leur popularité dans les entreprises. Les PDF sont couramment envoyés en tant que pièces jointes aux courriels, ce qui en fait un mécanisme de diffusion efficace pour les malwares », raconte Royce Lu. Selon le rapport de Palo Alto Networks, les PDF sont le principal type de pièce jointe malveillante utilisée dans 66 % des cas où les logiciels malveillants ont été transmis par courrier électronique. Les fichiers PDF sont largement utilisés pour le partage et la distribution de documents sur diverses plateformes. Ils sont conçus pour être compatibles avec plusieurs solutions, ce qui signifie qu'ils peuvent être ouverts et visualisés sur différents navigateurs, systèmes d'exploitation et appareils. « Cette polyvalence en fait un choix intéressant pour les acteurs de la menace, car ils peuvent cibler un large éventail de victimes potentielles sur différentes plateformes », relate Royce Lu.

Les PDF peuvent également être conçus pour tromper les utilisateurs grâce à des techniques d'ingénierie sociale. Les cybercriminels se servent souvent de visuels attrayants ou un contenu trompeur pour amener les utilisateurs à ouvrir un fichier PDF, qui peut contenir des liens d'hameçonnage, des malwares cachés ou des techniques d'exploitation. Les acteurs de la menace prennent également les victimes au dépourvu en utilisant des attaques par injection par le biais desquelles les attaquants recherchent des vulnérabilités dans les sites web ou dans les plugins et bibliothèques de tiers et les exploitent pour insérer un script malveillant dans des sites web légitimes. « Les sites web créés à l'aide de WordPress sont devenus une cible privilégiée », prévient Palo Alto Networks, ajoutant que cela pourrait indiquer qu'un ou plusieurs plugins tiers vulnérables auraient pu permettre à des acteurs de la menace de procéder à des injections de scripts malveillants.

Les variantes de la famille de malware Ramnit les plus utilisées

En ce qui concerne les logiciels malveillants les plus couramment utilisés, l'éditeur a observé que les variantes de Ramnit étaient la famille de logiciels malveillants la plus couramment déployée l'année dernière. « En examinant des dizaines de milliers d'échantillons de logiciels malveillants provenant de notre télémétrie, nous avons constaté que la famille de logiciels malveillants Ramnit présentait le plus grand nombre de variantes dans nos résultats de détection », peut-on lire dans son rapport. Ramnit est une souche de logiciels malveillants très répandue, active depuis 2010. Au départ, il s'agissait d'un ver et d'un cheval de Troie bancaire, mais il a évolué pour devenir une souche de logiciels malveillants multifonctionnelle. Il cible les portails bancaires en ligne et injecte un code malveillant dans les navigateurs web.

« Ce code capture les données de l'utilisateur, telles que les identifiants de connexion, les coordonnées bancaires et les données de transaction, ce qui permet aux acteurs de la menace d'obtenir un accès non autorisé aux comptes financiers des victimes », poursuit Royce Lu. Ramnit infecte les systèmes en exploitant les vulnérabilités ou en utilisant des techniques d'ingénierie sociale pour inciter les utilisateurs à exécuter des fichiers malveillants ou à visiter des sites web compromis. « Une fois à l'intérieur d'un système, Ramnit établit une persistance en créant des entrées de registre ou en s'ajoutant aux processus de démarrage, ce qui garantit qu'il reste actif même après le redémarrage du système », note l'ingénieur en chef de Palo Alto. Ramnit peut transformer les systèmes infectés en botnet. Il établit une infrastructure de commande et de contrôle (C&C) qui permet aux acteurs de la menace de contrôler et de coordonner à distance les actions des machines compromises. Cela leur permet d'émettre des commandes, de fournir des mises à jour et d'orchestrer diverses activités malveillantes à travers le réseau de zombies, précise M. Lu.

Les infrastructures critiques et Linux toujours des cibles populaires

Palo Alto a également constaté que le nombre moyen d'attaques par client dans le secteur de la fabrication, des services publics et de l'énergie a augmenté de 238 % l'année dernière. L'entreprise a également observé que les logiciels malveillants ciblant Linux sont en hausse. Les attaquants cherchent de nouvelles opportunités dans les charges de travail cloud et les terminaux IoT qui fonctionnent avec des systèmes d'exploitation de type Unix.

« La prévalence croissante de cette famille de systèmes d'exploitation parmi les terminaux mobiles et connectés pourrait expliquer pourquoi certains attaquants tournent leurs regards vers les systèmes Linux », a déclaré Palo Alto dans le rapport. Pour 2023, la société prévoit que les menaces évasives deviendront de plus en plus complexes, que la diffusion de logiciels malveillants par le biais de vulnérabilités continuera à augmenter et que les logiciels malveillants chiffrés continueront à se multiplier.