Brief IA : IBM X-Force révèle un malware IA dans une attaque de ransomware

IBM X-Force révèle un malware IA dans une attaque de ransomware

Brief IA
Tom Levy·3 min·4 vues

Le malware nommé Slopoly, vraisemblablement généré par un modèle de langage, a été utilisé par le groupe Hive0163 lors d'une attaque par ransomware. Les attaquants ont maintenu un accès au serveur compromis pendant plus d'une semaine, illustrant l'évolution des techniques de cybercriminalité et l'utilisation croissante de l'IA dans ce domaine.

En bref
1IBM X-Force a découvert un malware nommé Slopoly, probablement généré par IA, utilisé dans une attaque de ransomware.
2Le script PowerShell a permis aux cybercriminels de maintenir un accès prolongé à un serveur compromis.
3Slopoly, bien que techniquement simple, illustre l'utilisation croissante de l'IA pour créer des malwares rapidement.
💡Pourquoi c'est importantL'usage de l'IA pour générer des malwares pourrait rendre les cyberattaques plus fréquentes et difficiles à attribuer.
Le brief IA que lisent les pros

Tu suis la course aux modèles IA ?

Chaque sortie (GPT, Claude, Gemini, Mistral…) décryptée le soir même, en 5 min. Gratuit.

Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.

Choisis ton rythme

Gratuit · Pas de spam · Désabonnement en 1 clic

📄
L'analyse en français

IBM X-Force découvre un malware IA dans une attaque de ransomware

Un groupe de cybercriminels a utilisé un malware, probablement généré par un modèle de langage, lors d'une attaque par ransomware. Ce malware, identifié par IBM X-Force, est un script PowerShell nommé Slopoly, qui a permis aux attaquants de maintenir un accès à un serveur compromis pendant plus d'une semaine.

Les chercheurs d'IBM X-Force, en analysant une attaque par ransomware, ont découvert ce malware inédit. Slopoly présente des similarités avec du code généré par intelligence artificielle. Utilisé par le groupe Hive0163, ce script a permis de conserver un accès persistant avant le déploiement du rançongiciel Interlock. Bien que simple, il illustre une tendance croissante à utiliser l'IA pour accélérer la création de nouveaux malwares.

Un script PowerShell pour un accès prolongé

Le malware Slopoly est un script PowerShell installé sur le serveur compromis dans le dossier C:\ProgramData\Microsoft\Windows\Runtime. Il agit comme une backdoor, permettant aux attaquants de maintenir un accès à distance et d'exécuter des commandes sur la machine.

Dès son exécution, le script collecte des informations sur le système infecté, telles que l'adresse IP publique, le nom de l'utilisateur et celui de l'ordinateur. Ces données sont ensuite transmises à un serveur contrôlé par les attaquants.

Slopoly contacte régulièrement son serveur de commande pour signaler son activité et recevoir des instructions. Les ordres sont exécutés via l'interpréteur de commandes Windows, et les résultats sont renvoyés aux attaquants. Le script utilise une tâche planifiée pour se relancer automatiquement et conserve un journal d'activité sur la machine compromise.

Dans l'attaque analysée, Slopoly n'a pas été le vecteur initial d'infection. L'intrusion a commencé par une campagne ClickFix, incitant la victime à exécuter un script malveillant via la boîte de dialogue Exécuter de Windows. Après ce premier accès, les attaquants ont déployé plusieurs charges utiles, dont NodeSnake et InterlockRAT, avant d'installer Slopoly et de lancer le ransomware Interlock. L'apparition tardive de Slopoly suggère qu'il a pu être utilisé à titre de test en conditions réelles.

Indices d'une génération par intelligence artificielle

Techniquement, Slopoly n'est pas impressionnant. IBM le décrit comme médiocre, malgré des commentaires et intitulés dans le code qui le présentent comme plus élaboré. Cependant, certains éléments suggèrent qu'il a été créé avec un modèle de langage.

Le fichier contient de nombreux commentaires expliquant son fonctionnement, des variables et fonctions aux noms explicites, une gestion détaillée des erreurs et un système de journalisation structuré. De plus, le script se décrit comme un "Polymorphic C2 Persistence Client", bien que l'analyse ne révèle aucune capacité à modifier son fonctionnement.

En somme, Slopoly, bien que simple, témoigne de l'évolution des méthodes des cybercriminels. Si l'IA permet de produire des outils rapidement avec moins d'efforts, elle pourrait aussi favoriser l'essor de malwares éphémères, développés pour une attaque spécifique puis abandonnés. Cela pourrait compliquer l'attribution des campagnes malveillantes.

Suivez Brief IA

L'actu IA du jour, aussi dans votre fil.

Commentaires