Site icon Global News

Alerte : des chatbots IA vous poussent à télécharger un malware de cryptojacking — voici comment l’attaque fonctionne et comment vous protéger

Global News

Des chatbots IA détournés pour propager un malware de cryptojacking : comment ça marche

Une nouvelle campagne de cryptojacking identifiée par des équipes de Microsoft illustre une évolution préoccupante : les cybercriminels utilisent désormais les réponses et recommandations des chatbots à base d’IA pour diriger des victimes vers des sites piégés. Le but est classique — exploiter la puissance GPU d’ordinateurs de particuliers et d’entreprises pour miner des cryptomonnaies — mais la méthode a gagné en sophistication en combinant SEO poisoning, ingénierie sociale via assistants conversationnels et mécanismes de persistance très robustes.

Le scénario d’attaque : de la recherche innocente au malware caché

Tout commence par une requête légitime d’un utilisateur : chercher des outils populaires de diagnostic ou d’optimisation (par exemple CrystalDiskInfo, HWMonitor, FurMark, K‑Lite Codec Pack, PDFgear). Les attaquants ont créé plus de 150 domaines factices reproduisant l’apparence des sites officiels. Ces pages sont manipulées pour remonter dans les résultats des moteurs grâce au SEO poisoning, et dans certains cas les chatbots IA renvoient directement vers ces faux sites — une extension du « poisoning » classique aux LLM (Large Language Models).

Lorsque l’utilisateur clique sur le bouton de téléchargement, il reçoit un fichier ZIP contenant l’exécutable légitime du logiciel ciblé, mais aussi une DLL malveillante (autorun.dll). À l’exécution, une méthode dite DLL sideloading charge la DLL malveillante en mémoire, qui télécharge ensuite une seconde DLL — l’installateur détourné d’un outil d’accès distant (SmartConnect). Ce montage sert à dissimuler l’activité malveillante parmi des composants apparemment légitimes.

Mécanismes de persistance et furtivité

Les attaquants ne se contentent pas d’un simple drop de malware : le code met en place au moins six mécanismes de persistance (trois tâches planifiées, deux clés de registre et un raccourci dans le dossier d’exécution automatique). La technique de « process hollowing » permet d’exécuter le payload malveillant depuis des process Windows légitimes, réduisant ainsi les chances d’être détecté par des contrôles superficiels.

Article à lire  SpaceX prépare l’IPO la plus colossale de l’histoire — 75 milliards pour financer une conquête spatiale à 1 750 milliards d’euros?

Le composant final installe des mineurs qui exploitent surtout la puissance GPU, ce qui est plus rentable pour certaines cryptomonnaies. Les pièces extraites sont ensuite envoyées vers les portefeuilles contrôlés par les cybercriminels. Pire : dans certains cas, les attaquants maintiennent un accès distant permanent via l’accès à distance détourné, ouvrant la porte au vol de données ou à l’installation ultérieure d’un ransomware.

Pourquoi les chatbots deviennent un vecteur puissant

Les chatbots IA augmentent l’efficacité des campagnes malveillantes parce qu’ils sont désormais une source de réponses de confiance pour de nombreux utilisateurs. La plupart des internautes acceptent les recommandations d’un assistant numérique sans vérifier systématiquement la provenance d’un lien. En manipulant les données d’entraînement ou en optimisant leurs domaines pour remonter dans les résultats intégrés aux réponses, les attaquants étendent le spectre du SEO poisoning.

Cette dynamique repose aussi sur la crédulité et la recherche d’efficacité : un utilisateur pressé cherchera un utilitaire, cliquera sur le premier lien apparent et installera le fichier sans examen approfondi. Le recours croissant à des assistants conversationnels intégrés aux moteurs de recherche ou aux plateformes multiplie donc les points d’entrée potentiels.

Signes indicateurs et actions immédiates pour se protéger

  • Vérifier l’URL : toujours contrôler que l’adresse du site correspond exactement au domaine officiel du logiciel recherché (souvent les faux domaines comportent de légères variations).
  • Privilégier les sources officielles : télécharger les outils depuis les sites éditeurs reconnus ou via des dépôts approuvés plutôt que des liens fournis par des tiers.
  • Analyser les archives ZIP : avant d’exécuter un programme téléchargé, inspecter le contenu du ZIP et vérifier l’absence de DLL suspectes ou de fichiers additionnels inattendus.
  • Activer une solution EDR/antivirus récente : Microsoft Defender et autres solutions modernes peuvent détecter et bloquer les comportements de cryptojacking et les techniques de sideloading si elles sont correctement configurées.
  • Surveiller l’utilisation GPU/CPU : une consommation anormale, surtout en veille ou lors d’actions légères, peut indiquer la présence d’un mineur en activité.
  • Tenir les systèmes à jour : les correctifs de sécurité limitent l’exploitation de vulnérabilités par des malwares avancés.
    • Article à lire  ChatGPT m’a ruiné : la spirale terrifiante d’un homme pris au piège de l’IA — quand le chatbot devient dangereux

    Que fait Microsoft et que devraient faire les entreprises ?

    Microsoft a déjà identifié la campagne, listé les domaines impliqués et indiqué que Defender peut intercepter nombre de ces attaques. Mais l’efficacité globale dépend de la mise à jour des signatures, des règles heuristiques et de la configuration des protections en entreprise. Les SOC (Security Operation Centers) doivent surveiller spécifiquement les indicateurs de compromission liés au sideloading DLL, à la création de tâches planifiées et aux signes de process hollowing.

    Pour les entreprises, il est crucial de restreindre les droits d’installation logicielle, d’appliquer un contrôle strict des téléchargements depuis des comptes avec droits limités et d’utiliser une solution de filtrage Web capable de bloquer les domaines malveillants identifiés. La sensibilisation des collaborateurs reste un levier indispensable : former au repérage d’URLs douteuses, encourager l’utilisation de canaux officiels pour les outils et instaurer des procédures claires pour tout téléchargement d’outils système.

    Perspectives : l’IA, risque et remède à la fois

    Ironiquement, les mêmes technologies d’IA qui servent à orienter les utilisateurs peuvent aussi être employées pour renforcer la cybersécurité : détection comportementale, analyse des contenus malveillants, corrélation d’événements sur de larges périmètres. Les fournisseurs de solutions de sécurité intègrent déjà l’IA pour repérer des patterns de cryptojacking et anticiper les mutations des tactiques adverses. Mais la course entre attaquants et défenseurs reste ouverte et rapide.

    Cette campagne montre que la surface d’attaque évolue : il ne s’agit plus seulement de sites Web compromis ou d’emails de phishing, mais d’une exploitation élaborée des canaux de recommandation automatisés. Les organisations et les utilisateurs doivent donc adapter leur garde‑fou numérique et garder une posture de vigilance active face aux réponses supposément « intelligentes » des assistants en ligne.

    Article à lire  Apple après Cook : l'iPhone pliable arrive — découvrez les 9 nouveaux produits surprises que John Ternus préparerait pour révolutionner votre maison et vos wearables
    Quitter la version mobile