Microsoft avertit que les résultats des chatbots IA sont utilisés dans des campagnes de cryptojacking

• Annonce -

• Microsoft affirme que des attaquants utilisent des résultats de recherche empoisonnés et des interactions avec des chatbots IA pour orienter vers des sites de téléchargement malveillants.

• La campagne cible les utilisateurs disposant de GPU puissants, ce qui la rend particulièrement pertinente pour les malwares de minage de cryptomonnaies et la sécurité des portefeuilles.

Microsoft a averti que des attaquants utilisent à la fois l'empoisonnement traditionnel des moteurs de recherche et les interactions avec des chatbots IA pour pousser des téléchargements de logiciels malveillants liés à une campagne de cryptojacking.

Selon les chercheurs de Microsoft Defender, la campagne se fait passer pour des utilitaires PC de confiance tels que CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack et PDFgear. Les utilisateurs recherchant ces outils peuvent être redirigés vers de fausses pages de téléchargement contrôlées par les attaquants.

L'angle crypto est important. Microsoft a déclaré que la campagne semble cibler les utilisateurs susceptibles de posséder des GPU haute performance. Ces machines sont plus précieuses pour les attaquants car des cartes graphiques puissantes peuvent générer plus de rendement pour le minage non autorisé de cryptomonnaies.

La recherche IA devient une partie du chemin d'attaque

L'empoisonnement SEO est une tactique de malware connue depuis des années. Les attaquants créent ou manipulent des sites web pour qu'ils apparaissent dans les résultats de recherche pour des téléchargements populaires, des outils logiciels ou des requêtes de dépannage.

Ce qui rend ce cas plus notable, c'est le rôle des systèmes IA.

Microsoft a déclaré avoir observé des rapports indiquant que certains utilisateurs ont pu être dirigés vers des domaines malveillants via des interactions avec des outils basés sur des modèles de langage étendus. Dans ces cas, les utilisateurs demandant des recommandations de téléchargement de logiciels à des chatbots IA se voyaient montrer des liens vers des domaines contrôlés par les attaquants.

Comme l'a rapporté The Query Post, cette campagne montre comment l'empoisonnement SEO classique pourrait migrer vers la recherche IA, où les utilisateurs traitent souvent les recommandations générées comme plus soignées et dignes de confiance que les résultats de recherche ordinaires.

Pourquoi cela importe pour les utilisateurs de crypto

Les utilisateurs de crypto sont déjà des cibles fréquentes pour le phishing, les fausses applications de portefeuille, les extensions de navigateur malveillantes et les outils de trading frauduleux. La recherche IA ajoute un autre canal de découverte possible pour les attaquants.

Si un utilisateur demande à un assistant IA quel portefeuille télécharger, quel outil fiscal crypto utiliser ou où trouver un logiciel de surveillance GPU, une recommandation malveillante pourrait mener à un faux domaine qui semble légitime.

Ce risque devient plus grave lorsque le logiciel demande des permissions système ou lorsque l'appareil cible contient des fichiers de portefeuille, des sessions d'échange, des notes de phrase de récupération ou des extensions crypto basées sur le navigateur.

Microsoft a déclaré que le malware peut être chargé via le détournement de DLL (DLL sideloading) et que la campagne abuse également de ScreenConnect pour établir un accès à distance persistant. Cet accès pourrait permettre aux attaquants de profiler l'appareil, de scanner le réseau et de déployer des malwares de minage de cryptomonnaies.

Le cryptojacking n'est pas le seul risque

La campagne immédiate décrite par Microsoft se concentre sur le minage non autorisé de cryptomonnaies. Mais un accès persistant à un appareil peut créer des risques de sécurité plus larges.

Une fois que les attaquants ont un accès à distance, ils peuvent être en mesure d'approfondir leur intrusion dans le système, de voler des informations ou de préparer des attaques supplémentaires. Microsoft a également averti que ce type d'accès pourrait soutenir des activités ultérieures telles que le vol de données, les déplacements latéraux ou les ransomwares.

Pour les utilisateurs de crypto, cela rend le problème plus grave qu'un simple ralentissement de l'appareil dû à un logiciel de minage caché. Une machine compromise peut également exposer les portefeuilles, les fichiers privés et les comptes liés aux activités de trading ou DeFi.

Les liens générés par IA ne doivent pas être traités comme des liens vérifiés

La leçon pratique est simple : les recommandations de logiciels générées par IA doivent être vérifiées de la même manière que les utilisateurs vérifieraient les résultats de recherche.

Les utilisateurs de crypto devraient télécharger des portefeuilles, des outils de trading, des utilitaires de minage et des logiciels de surveillance matérielle uniquement à partir de sites web officiels. Ils devraient également vérifier attentivement les domaines, éviter les pages imitées et être particulièrement prudents avec les outils qui demandent des permissions élevées.

Les outils IA peuvent aider les utilisateurs à découvrir des informations plus rapidement. Mais lorsqu'il s'agit de logiciels crypto, d'outils de portefeuille ou de tout ce qui touche à l'accès système, une recommandation d'un chatbot ne doit pas être traitée comme une preuve qu'un lien est sûr.

Alors que la recherche IA devient une partie plus importante de la façon dont les utilisateurs trouvent des logiciels et des outils financiers, les attaquants auront davantage d'incitations à influencer ces réponses. Pour l'industrie crypto, cela fait de l'empoisonnement de la recherche IA un problème de sécurité, et pas seulement un problème de marketing de recherche.