Microsoft avertit que les résultats des chatbots IA sont utilisés dans des campagnes de cryptojacking.

• Publicité -

• Microsoft affirme que des attaquants utilisent des résultats de recherche empoisonnés et des interactions avec des chatbots IA pour orienter les utilisateurs vers des sites de téléchargement malveillants.

• La campagne cible les utilisateurs disposant de GPU puissants, ce qui la rend particulièrement pertinente pour les logiciels malveillants de minage de cryptomonnaies et la sécurité des portefeuilles.

Microsoft a averti que des attaquants utilisent à la fois l'empoisonnement traditionnel des moteurs de recherche et les interactions avec des chatbots IA pour distribuer des téléchargements de logiciels malveillants liés à une campagne de cryptojacking.

Selon les chercheurs de Microsoft Defender, la campagne usurpe l'identité d'utilitaires PC de confiance tels que CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack et PDFgear. Les utilisateurs recherchant ces outils peuvent être redirigés vers de fausses pages de téléchargement contrôlées par les attaquants.

L'angle crypto est important. Microsoft a déclaré que la campagne semble cibler les utilisateurs susceptibles de posséder des GPU hautes performances. Ces machines sont plus précieuses pour les attaquants car les cartes graphiques puissantes peuvent générer davantage de production pour le minage non autorisé de cryptomonnaies.

La recherche IA devient une partie du vecteur d'attaque

L'empoisonnement SEO est une tactique malveillante connue depuis des années. Les attaquants créent ou manipulent des sites Web pour qu'ils apparaissent dans les résultats de recherche pour des téléchargements populaires, des outils logiciels ou des requêtes de dépannage.

Ce qui rend ce cas plus notable, c'est le rôle des systèmes d'IA.

Microsoft a déclaré avoir observé des rapports indiquant que certains utilisateurs auraient été dirigés vers des domaines malveillants par le biais d'interactions avec des outils basés sur des modèles de langage étendus. Dans ces cas, les utilisateurs demandant des recommandations de téléchargement de logiciels à des chatbots IA se voyaient montrer des liens vers des domaines contrôlés par les attaquants.

Comme l'a rapporté The Query Post, cette campagne montre comment l'empoisonnement SEO classique pourrait se déplacer vers la recherche IA, où les utilisateurs considèrent souvent les recommandations générées comme plus soignées et dignes de confiance que les résultats de recherche ordinaires.

Pourquoi cela est important pour les utilisateurs de crypto

Les utilisateurs de crypto sont déjà des cibles fréquentes pour le phishing, les applications de portefeuille frauduleuses, les extensions de navigateur malveillantes et les outils de trading falsifiés. La recherche IA ajoute un autre canal de découverte possible pour les attaquants.

Si un utilisateur demande à un assistant IA quel portefeuille télécharger, quel outil fiscal crypto utiliser ou où trouver un logiciel de surveillance GPU, une recommandation malveillante pourrait conduire à un domaine frauduleux qui semble légitime.

Ce risque devient plus sérieux lorsque le logiciel demande des permissions système ou lorsque l'appareil cible contient des fichiers de portefeuille, des sessions d'échange, des notes de phrase de récupération ou des extensions crypto basées sur le navigateur.

Microsoft a déclaré que le logiciel malveillant peut être chargé via le détournement de DLL et que la campagne abuse également de ScreenConnect pour établir un accès à distance persistant. Cet accès pourrait permettre aux attaquants de profiler l'appareil, de scanner le réseau et de déployer des logiciels malveillants de minage de cryptomonnaies.

Le cryptojacking n'est pas le seul risque

La campagne immédiate décrite par Microsoft se concentre sur le minage non autorisé de cryptomonnaies. Mais un accès persistant à un appareil peut créer des risques de sécurité plus larges.

Une fois que les attaquants ont un accès à distance, ils peuvent être en mesure de s'enfoncer plus profondément dans le système, de voler des informations ou de se préparer à des attaques supplémentaires. Microsoft a également averti que ce type d'accès pourrait soutenir des activités ultérieures telles que le vol de données, le déplacement latéral ou les ransomwares.

Pour les utilisateurs de crypto, cela rend le problème plus grave qu'un simple appareil qui fonctionne lentement à cause d'un logiciel de minage caché. Une machine compromise peut également exposer des portefeuilles, des fichiers privés et des comptes connectés aux activités de trading ou DeFi.

Les liens générés par IA ne doivent pas être considérés comme des liens vérifiés

La leçon pratique est simple : les recommandations logicielles générées par IA doivent être vérifiées de la même manière que les utilisateurs vérifieraient les résultats de recherche.

Les utilisateurs de crypto ne doivent télécharger des portefeuilles, outils de trading, utilitaires de minage et logiciels de surveillance matérielle que depuis des sites Web officiels. Ils doivent également vérifier soigneusement les domaines, éviter les pages imitées et être particulièrement prudents avec les outils qui demandent des permissions élevées.

Les outils IA peuvent aider les utilisateurs à découvrir des informations plus rapidement. Mais en ce qui concerne les logiciels crypto, les outils de portefeuille ou tout ce qui touche à l'accès système, une recommandation d'un chatbot ne doit pas être considérée comme une preuve qu'un lien est sûr.

Alors que la recherche IA devient une partie plus importante de la façon dont les utilisateurs trouvent des logiciels et des outils financiers, les attaquants auront davantage d'incitations à influencer ces réponses. Pour l'industrie crypto, cela fait de l'empoisonnement de la recherche IA un problème de sécurité, pas seulement un problème de marketing de recherche.