Google met en garde contre les logiciels malveillants alimentés par l’IA ciblant les utilisateurs de crypto-monnaies

Les acteurs de la menace, y compris ceux qui ont des liens avec la Corée du Nord, utilisent des logiciels malveillants activés par l’IA qui se réécrivent en temps réel pour cibler les utilisateurs de crypto-monnaies, selon un avertissement publié cette semaine par Google.

« Les acteurs de la menace associés à la République populaire démocratique de Corée (RPDC) continuent d’utiliser à mauvais escient les outils d’IA générative pour soutenir les opérations à toutes les étapes du cycle de vie de l’attaque, conformément à leurs efforts pour cibler les crypto-monnaies et fournir un soutien financier au régime », a écrit Google Threat Intelligence Group dans un rapport récent.

Les logiciels malveillants alimentés par l’IA présentent de nouveaux risques pour les utilisateurs de cryptomonnaies

Google a suivi au moins cinq familles de logiciels malveillants distinctes qui peuvent « générer dynamiquement des scripts malveillants, obscurcir leur propre code pour échapper à la détection », en utilisant de grands modèles de langage tels que Gemini et Qwen2.5-Coder pendant l’exécution.

Les logiciels malveillants activés par l’IA sont la nouvelle frontière des cyberattaques et présentent une escalade majeure par rapport aux approches précédentes, où les fonctions malveillantes étaient généralement codées en dur directement dans le logiciel malveillant lui-même.

La nouvelle souche de logiciel malveillant peut essentiellement réécrire et adapter son code en cours de route, ce qui la rend beaucoup plus difficile à détecter et à atténuer à l’aide d’outils de sécurité traditionnels.

Google a spécifiquement mis en évidence deux familles de logiciels malveillants, PROMPTFLUX et PROMPTSTEAL, qui intègrent de grands modèles de langage directement dans leurs opérations pour régénérer le code, échapper aux logiciels antivirus et exécuter des commandes au niveau du système en temps réel.

PROMPTFLUX est un dropper expérimental qui utilise l’API de Gemini pour réécrire continuellement son code VBScript, ce qui lui permet de rafraîchir ses tactiques d’obfuscation et de contourner les outils de sécurité.

Tandis que PROMPTSTEAL, un mineur de données, exploite le modèle Qwen hébergé sur Hugging Face pour générer des commandes Windows à la demande pour la collecte de fichiers et d’informations système.

PROMPTSTEAL a été directement associé au groupe russe APT28 et a déjà été déployé dans des opérations réelles.

Les utilisateurs de crypto-monnaies sont également à risque, car le groupe lié à la Corée du Nord UNC1069, également connu sous le nom de Masan, utilise Gemini « pour rechercher des concepts de crypto-monnaie et effectuer des recherches et des reconnaissances liées à l’emplacement des utilisateurs wallet crypto-monnaie aux données d’application ».

Selon Google, le groupe est allé plus loin en élaborant des messages d’hameçonnage multilingues et en tentant de développer un code qui se faisait passer pour des mises à jour logicielles afin de voler des informations d’identification et d’extraire des actifs numériques.

Les acteurs de la menace, y compris les attaquants liés à la RPDC, ont également utilisé des outils alimentés par l’IA pour générer des images et des vidéos truquées se faisant passer pour des personnes de l’industrie des crypto-monnaies dans le cadre de campagnes d’ingénierie sociale visant à distribuer des logiciels malveillants et à accéder aux systèmes cibles.

Google a déclaré qu’il avait déjà désactivé les comptes liés à ces activités, mais des risques subsistent car les attaquants peuvent utiliser l’IA pour générer des scripts d’exfiltration sur mesure, des leurres de phishing et des commandes système qui pourraient cibler les plateformes de crypto-monnaies et leurs utilisateurs avec une précision beaucoup plus grande qu’auparavant.

Tentatives passées de ciblage d’utilisateurs de crypto-monnaies à l’aide de logiciels malveillants

Depuis la création de l’industrie des cryptomonnaies, les attaquants ont utilisé divers vecteurs d’attaque créatifs pour exploiter les vulnérabilités des plateformes, des utilisateurs et de l’infrastructure.

Le mois dernier, dans un rapport distinct, Google a identifié une autre souche de logiciel malveillant baptisée EtherHiding que des attaquants liés à la Corée du Nord poussaient via des contrats intelligents blockchain sur Ethereum et BNB Smart Chain pour livrer secrètement des charges utiles malveillantes.

Plus tôt cette année, Kaspersky a signalé une autre opération malveillante à grande échelle qui a abusé de la plate-forme logicielle SourceForge pour distribuer des logiciels malveillants de ciblage cryptographique déguisés en faux modules complémentaires Microsoft Office et a réussi à infiltrer plus de 4 600 appareils, principalement en Russie.