Les publicités malveillantes diffusées dans le chatbot d’intelligence artificielle (IA) de Microsoft Bing sont utilisées pour distribuer des logiciels malveillants lors de la recherche d’outils populaires.
Les résultats proviennent de Malwarebytes, qui a révélé que des utilisateurs peu méfiants peuvent être amenés à visiter des sites piégés et à installer des logiciels malveillants directement à partir des conversations Bing Chat.
Introduit par Microsoft en février 2023, Bing Chat est un expérience de recherche interactive qui est alimenté par le grand modèle de langage d’OpenAI appelé GPT-4. Un mois plus tard, le géant de la technologie a commencé explorant placer des publicités dans les conversations.
Mais cette décision a également ouvert la porte aux acteurs malveillants qui recourent à des tactiques de publicité malveillante et propagent des logiciels malveillants.
« Les publicités peuvent être insérées dans une conversation Bing Chat de différentes manières », Jérôme Segura, directeur de la veille sur les menaces chez Malwarebytes, dit. « L’un d’entre eux se produit lorsqu’un utilisateur survole un lien et qu’une annonce s’affiche en premier avant le résultat organique. »
Dans un exemple mis en avant par le fournisseur de cybersécurité, une requête Bing Chat visant à télécharger un logiciel légitime appelé Advanced IP Scanner renvoyait un lien qui, une fois survolé, affichait une publicité malveillante pointant vers un lien frauduleux avant le site officiel hébergeant l’outil.
En cliquant sur le lien, l’utilisateur accède à un système de direction du trafic (TDS) qui prend ses empreintes digitales et détermine si la demande provient réellement d’un véritable humain (par opposition à un robot, un robot d’exploration ou un bac à sable), avant de l’amener à une page leurre contenant le installateur malveillant.
Le programme d’installation est configuré pour exécuter un script Visual Basic qui se dirige vers un serveur externe dans le but probable de recevoir la charge utile de l’étape suivante. La nature exacte du malware diffusé est actuellement inconnue.
Un aspect notable de la campagne est que l’auteur de la menace a réussi à infiltrer le compte publicitaire d’une entreprise australienne légitime et à créer les publicités.
« Les acteurs malveillants continuent d’exploiter les annonces du Réseau de Recherche pour rediriger les utilisateurs vers des sites malveillants hébergeant des logiciels malveillants », a déclaré Segura. « Avec des pages de destination convaincantes, les victimes peuvent facilement être amenées à télécharger des logiciels malveillants sans s’en rendre compte. »
La révélation arrive alors Akamai et Point de perception découvert un campagne en plusieurs étapes cela implique d’attaquer les systèmes des hôtels, des sites de réservation et des agences de voyages avec des logiciels malveillants voleurs d’informations, puis d’exploiter l’accès aux comptes pour récupérer les données financières appartenant aux clients en utilisant de fausses pages de réservation.
« L’attaquant, se faisant passer pour l’hôtel, contacte le client via le site de réservation, l’invitant à ‘reconfirmer sa carte de crédit’, puis vole les informations du client », a déclaré Shiran Guez, chercheuse d’Akamai, soulignant comment les attaques ciblent les clients. sur le sentiment d’urgence de la victime de réaliser l’opération.
Cofense, dans un rapport publié cette semaine, a déclaré que le secteur de l’hôtellerie a été la cible d’une « attaque d’ingénierie sociale bien conçue et innovante » conçue pour diffuser des logiciels malveillants tels que Lumma Stealer, RedLine Stealer, Stealc, Spidey Bot, et Vidar.
« Pour l’instant, la campagne cible uniquement le secteur de l’hôtellerie, en ciblant principalement les chaînes d’hôtels et les complexes hôteliers de luxe, et utilise des leurres relatifs à ce secteur tels que les demandes de réservation, les modifications de réservation et les demandes spéciales », a déclaré Cofense. dit.
« Les leurres pour les e-mails de reconnaissance et de phishing correspondent en conséquence et sont bien pensés. »
La société de gestion des menaces de phishing en entreprise a déclaré qu’elle observé des pièces jointes HTML malveillantes destinées à mener des attaques Browser-in-the-Browser (BitB) en affichant des fenêtres pop-up apparemment inoffensives qui incitent les destinataires de courrier électronique à fournir leurs informations d’identification Microsoft.
Dans une autre illustration de la nature évolutive des attaques de phishing, les acteurs malveillants ont commencé à utiliser une technique appelée ZéroFont dans lequel une partie sélectionnée du corps du message est écrite dans une police de taille zéro pixel pour donner l’impression que l’e-mail a passé avec succès les contrôles de sécurité.
Plus précisément, l’attaque consiste à manipuler les aperçus des messages sur Microsoft Outlook de telle sorte que le texte « invisible » se trouve au début du message. Cela tire parti du fait que les clients de messagerie affichent n’importe quel texte dans la vue liste, même s’il n’a pas de taille de police.
« Bien qu’il s’agisse d’une technique avec un impact mineur, elle peut néanmoins faire croire à certains destinataires qu’un message de phishing est digne de confiance », SANS Internet Storm Center (ISC) dit. « Il s’agit en tout cas d’un petit ajout supplémentaire à la boîte à outils des acteurs menaçants qui peut être utilisé pour créer des campagnes de phishing plus efficaces. »
Ces découvertes sont le signe que les acteurs de la menace trouvent constamment de nouveaux moyens d’infiltrer leurs cibles à leur insu. Les utilisateurs doivent éviter de cliquer sur des liens non sollicités, même s’ils semblent légitimes, se méfier des messages urgents ou menaçants demandant une action immédiate et vérifier les URL pour détecter des indicateurs de tromperie.