Depuis la montée en puissance des technologies d’intelligence artificielle, les menaces cybernétiques ont connu une mutation profonde. Ce qui apparaissait hier encore comme de simples escroqueries par e-mail se transforme désormais en campagnes massives d’attaques numériques basées sur des plateformes faussement innovantes. En novembre 2024, le groupe de cybersécurité Mandiant (filiale de Google Cloud) a découvert une opération à grande échelle baptisée UNC6032, exploitant l’image et le succès de l’IA générative pour piéger les internautes en Europe, et provenant de groupes cybercriminels situés au Vietnam.
De faux sites de création de vidéos par IA très convaincants
La campagne repose sur la création de faux sites web imitant les géants de l’IA comme Luma AI, D-ID, Canva Dream Lab ou Kling AI. Ces faux sites, conçus avec soin pour imiter les interfaces officielles, sont largement promus sur les réseaux sociaux (Facebook et Linkedin notamment) à travers des publicités sponsorisées. Les escrocs visent à inciter les utilisateurs à cliquer sur des liens les redirigeant vers ces plateformes frauduleuses. Une fois sur le site, l’utilisateur est invité à télécharger un fichier pour accéder à un prétendu outil IA révolutionnaire.
Le piège est redoutablement simple : les cybercriminels utilisent un fichier exécutable (.exe) qui se fait passer pour une vidéo (.mp4), grâce à un nom de fichier contenant un caractère Unicode invisible qui masque la véritable extension. Ce type de technique d’ingénierie sociale permet de contourner l’attention de l’utilisateur comme des antivirus classiques. Les pays visés sont l'Australie, les Etats-Unis et l'Europe.
Le rôle central du malware STARKVEIL
Le malware contenu dans ces fichiers est un dropper baptisé STARKVEIL, développé en Rust. Une fois exécuté, STARKVEIL déploie d'autres composants malveillants sur l’ordinateur de la victime. Parmi eux :
- GRIMPULL : un infostealer écrit en Python capable de voler des données comme les identifiants, cookies, sessions et mots de passe enregistrés.
- XWORM : un malware plus sophistiqué qui peut recevoir des commandes à distance et télécharger d'autres modules selon les besoins des attaquants.
- FROSTRIFT : un enregistreur de frappes et de captures d'écran, utilisé pour surveiller l’activité de la victime de manière furtive.
Les informations volées sont ensuite transmises aux pirates via des canaux de communication comme Telegram, rendant le suivi et l’identification des auteurs plus complexes.
Une campagne massive ciblant l'Europe
Les chercheurs de Mandiant ont repéré plus de 120 publicités malveillantes promues activement sur Facebook et Linkedin, atteignant un public estimé à plus de 2,3 millions d’utilisateurs dans l’Union européenne. Les domaines utilisés sont souvent récents, enregistrés quelques jours avant le lancement de la campagne, ce qui rend leur détection plus difficile pour les outils de cybersécurité traditionnels.
Cette campagne démontre une évolution notable des tactiques cybercriminelles, qui n’hésitent plus à investir dans la publicité ciblée et à capitaliser sur l’image de marque de l’IA pour gagner en crédibilité.
Conseils pour se protéger
Pour éviter de tomber dans ce type de piège numérique, les experts recommandent :
- De ne jamais cliquer sur une publicité menant à un outil IA sans avoir vérifié son authenticité sur un moteur de recherche.
- D’utiliser des solutions de sécurité robustes et mises à jour régulièrement.
- De vérifier les extensions de fichiers avant téléchargement, même si le nom du fichier paraît légitime.
- De se méfier des sites web nouvellement créés ou au nom de domaine étrange.
La sensibilisation reste l’un des meilleurs remparts face à ces attaques, en particulier dans un contexte où l’IA devient un thème central.
Les cybercriminels évoluent avec leur temps, et l’IA est aujourd’hui leur nouveau cheval de Troie. La campagne UNC6032 montre une sophistication technique et une coordination marketing inquiétantes, capables de cibler des millions de citoyens européens. En restant informés, prudents et équipés d’outils de sécurité performants, les utilisateurs peuvent se prémunir contre ces menaces croissantes.
Articles
Aucun commentaire:
Enregistrer un commentaire