Une nouvelle génération de logiciels malveillants utilise diverses techniques dynamiques pour éviter la détection et créer des pages Web de phishing personnalisées.
Les attaques basées sur l’IA peuvent transformer une page Web inoffensive en une page de phishing personnalisée. Les attaques, révélées dans une recherche menée par l’unité 42 de Palo Alto Networks, sont intelligentes dans la manière dont elles combinent diverses techniques d’obscurcissement. Cette combinaison peut cependant être mortelle, difficile à découvrir et représente un nouveau front offensif dans l’utilisation de l’IA par de mauvais acteurs pour compromettre les réseaux d’entreprise.
L’attaque commence par une page Web originale et ordinaire, puis les attaquants ajoutent des appels d’API côté client aux LLM qui peuvent générer dynamiquement du code JavaScript malveillant en temps réel. Cette technique polymorphe est dangereuse pour plusieurs raisons. Premièrement, il peut contourner tous les garde-fous de sécurité intégrés du modèle d’IA. Deuxièmement, parce qu’il diffuse ses logiciels malveillants à partir d’un domaine LLM approuvé, il peut contourner l’analyse réseau classique. Sans aucun contrôle d’analyse comportementale à l’exécution, il ne sera pas facilement découvert ou bloqué, car l’assemblage du code final du malware se produit dans le navigateur d’un client et ne laisse aucun résidu de charge utile statique ailleurs dans le processus.
Les analystes de l’Unité 42 ont écrit un code de validation de principe qui appelle des LLM populaires tels que DeepSeek et Gemini de Google à renvoyer le JavaScript malveillant. L’étape clé consiste à utiliser des invites distinctes pour créer des invites d’IA qui traduisent le logiciel malveillant et décrivent ses fonctionnalités sous forme de texte brut, qui génèrent ensuite différents éléments du code réel du logiciel malveillant. Le modèle d’IA peut générer une variété de contenus de codes de phishing, puis assembler les différents éléments, ce qui rend la détection plus difficile. L’assemblage, comme mentionné, se produit à la toute fin de la chaîne d’approvisionnement des logiciels malveillants, ce que SquareX appelle une attaque de réassemblage du dernier kilomètre.
Bien que cette attaque ne soit pas vraiment nouvelle, ce qui est nouveau, c’est le type de morceaux de code générés par l’IA qui sont plus difficiles à détecter. L’exemple utilisé dans le PoC décrivait quatre fragments de code dans ses instructions d’invite, chaque fragment impliquant une étape différente dans les opérations du malware. Chaque invite renverrait une variante syntaxiquement unique mais fonctionnellement identique du code malveillant, selon les analystes. Considérez cela comme la version IA d’un malware codé sur mesure qui a été inventé il y a plusieurs décennies par des attaquants cherchant à échapper aux algorithmes de détection de signatures statiques.
Il existe plusieurs façons de réaliser l’assemblage final du malware, notamment en utilisant un serveur proxy back-end ou un réseau de diffusion de contenu pour masquer davantage la véritable nature du malware en fournissant des domaines de confiance pour livrer la marchandise.
Jess Burn, analyste Forrester pour la sécurité du courrier électronique, convient qu’il existe une certaine protection grâce aux technologies défensives existantes. Cependant, « même si cette attaque utilise le navigateur et un LLM pour créer la page de phishing à la volée, le problème reste de savoir comment les utilisateurs ont accédé à cette page en premier lieu. Des outils de sécurité de messagerie et de collaboration bien adaptés qui détectent les liens suspects, les domaines nouvellement enregistrés, les marques similaires et le comportement inhabituel des expéditeurs peuvent toujours arrêter bon nombre de ces campagnes au niveau de la couche de message afin que l’utilisateur ne clique jamais sur la page « magique » qui devient malveillante au moment de l’exécution. «
Unit 42 recommande bien entendu les produits de Palo Alto Networks pour aider à se défendre contre cette attaque. D’autres solutions incluent l’utilisation de passerelles Web sécurisées ainsi que de navigateurs d’entreprise sécurisés qui peuvent empêcher les attaques du dernier kilomètre.
