Les publicités malveillantes diffusées dans le chatbot d’intelligence artificielle (IA) de Microsoft Bing sont utilisées pour distribuer des logiciels malveillants lors de la recherche d’outils populaires.
Les résultats proviennent de Malwarebytes, qui a révélé que des utilisateurs peu méfiants peuvent être amenés à visiter des sites piégés et à installer des logiciels malveillants directement à partir des conversations Bing Chat.
Introduit par Microsoft en février 2023, Bing Chat est une expérience de recherche interactive optimisée par le grand modèle de langage d’OpenAI appelé GPT-4. Un mois plus tard, le géant de la technologie a commencé à envisager de placer des publicités dans les conversations.
Mais cette décision a également ouvert la porte aux acteurs malveillants qui recourent à des tactiques de publicité malveillante et propagent des logiciels malveillants.
« Les publicités peuvent être insérées dans une conversation Bing Chat de différentes manières », a déclaré Jérôme Segura, directeur des renseignements sur les menaces chez Malwarebytes. « L’un d’entre eux se produit lorsqu’un utilisateur survole un lien et qu’une annonce s’affiche en premier avant le résultat organique. »
Dans un exemple mis en avant par le fournisseur de cybersécurité, une requête Bing Chat visant à télécharger un logiciel légitime appelé Advanced IP Scanner renvoyait un lien qui, une fois survolé, affichait une publicité malveillante pointant vers un lien frauduleux avant le site officiel hébergeant l’outil.
En cliquant sur le lien, l’utilisateur accède à un système de direction du trafic (TDS) qui prend ses empreintes digitales et détermine si la demande provient réellement d’un véritable humain (par opposition à un robot, un robot d’exploration ou un bac à sable), avant de l’amener à une page leurre contenant le installateur malveillant.
Le programme d’installation est configuré pour exécuter un script Visual Basic qui se dirige vers un serveur externe dans le but probable de recevoir la charge utile de l’étape suivante. La nature exacte du malware diffusé est actuellement inconnue.
Un aspect notable de la campagne est que l’auteur de la menace a réussi à infiltrer le compte publicitaire d’une entreprise australienne légitime et à créer les publicités.
« Les acteurs malveillants continuent d’exploiter les annonces du Réseau de Recherche pour rediriger les utilisateurs vers des sites malveillants hébergeant des logiciels malveillants », a déclaré Segura. « Avec des pages de destination convaincantes, les victimes peuvent facilement être amenées à télécharger des logiciels malveillants sans s’en rendre compte. »
La révélation intervient alors qu’Akamai et Perception Point ont découvert une campagne en plusieurs étapes qui consiste à attaquer les systèmes des hôtels, des sites de réservation et des agences de voyages avec des logiciels malveillants voleurs d’informations, puis à exploiter l’accès aux comptes pour récupérer les données financières appartenant aux clients à l’aide de faux. pages de réservation.
« L’attaquant, se faisant passer pour l’hôtel, contacte le client via le site de réservation, l’invitant à ‘reconfirmer sa carte de crédit’, puis vole les informations du client », a déclaré Shiran Guez, chercheuse d’Akamai, soulignant comment les attaques ciblent les clients. sur le sentiment d’urgence de la victime de réaliser l’opération.
Cofense, dans un rapport publié cette semaine, a déclaré que le secteur de l’hôtellerie a été la cible d’une « attaque d’ingénierie sociale bien conçue et innovante » conçue pour diffuser des logiciels malveillants tels que Lumma Stealer, RedLine Stealer, Stealc, Spidey Bot, et Vidar.
« Pour l’instant, la campagne cible uniquement le secteur de l’hôtellerie, en ciblant principalement les chaînes d’hôtels et les complexes hôteliers de luxe, et utilise des leurres relatifs à ce secteur tels que les demandes de réservation, les modifications de réservation et les demandes spéciales », a déclaré Cofense.
« Les leurres pour les e-mails de reconnaissance et de phishing correspondent en conséquence et sont bien pensés. »
La société de gestion des menaces de phishing en entreprise a déclaré avoir également observé des pièces jointes HTML malveillantes destinées à mener des attaques Browser-in-the-Browser (BitB) en affichant des fenêtres pop-up apparemment inoffensives qui incitent les destinataires d’e-mails à fournir leurs informations d’identification Microsoft.
Dans une autre illustration de la nature évolutive des attaques de phishing, les auteurs de la menace ont commencé à utiliser une technique appelée ZeroFont dans laquelle une partie sélectionnée du corps du message est écrite dans une police de zéro pixel pour donner l’impression que l’e-mail a réussi. passé les contrôles de sécurité.
Plus précisément, l’attaque consiste à manipuler les aperçus des messages sur Microsoft Outlook de telle sorte que le texte « invisible » se trouve au début du message. Cela tire parti du fait que les clients de messagerie affichent n’importe quel texte dans la vue liste, même s’il n’a pas de taille de police.
« Bien qu’il s’agisse d’une technique ayant un impact mineur, elle peut néanmoins faire croire à certains destinataires qu’un message de phishing est digne de confiance », a déclaré le SANS Internet Storm Center (ISC). « Il s’agit en tout cas d’un petit ajout supplémentaire à la boîte à outils des acteurs menaçants qui peut être utilisé pour créer des campagnes de phishing plus efficaces. »
Ces découvertes sont le signe que les acteurs de la menace trouvent constamment de nouveaux moyens d’infiltrer leurs cibles à leur insu. Les utilisateurs doivent éviter de cliquer sur des liens non sollicités, même s’ils semblent légitimes, se méfier des messages urgents ou menaçants demandant une action immédiate et vérifier les URL pour détecter des indicateurs de tromperie.
