Des pubs pour des outils IA diffusent des malwares infostealers sur Facebook et LinkedIn
Depuis des mois, des pirates profitent la popularité de l’IA pour diffuser des logiciels malveillants via de fausses publicités sur les réseaux sociaux, notamment sur LinkedIn et Facebook. Faisons le point sur cette menace.
Des publicités trompeuses pour des outils d’IA
Depuis novembre 2024, le groupe de cybercriminels UNC6032, basé au Vietnam, est suivi par les chercheurs en sécurité de chez Mandiant. La raison ? Ce groupe mène une campagne de malvertising à grande échelle ! Les pirates diffusent des publicités malveillantes sur Facebook et LinkedIn, en effectuant la promotion d’outils IA populaires comme Luma AI, Canva Dream Lab et Kling AI. Ces annonces redirigent les victimes vers des sites web contrôlés par les pirates qui imitent les interfaces des outils d’IA.
“Nos recherches dans les deux bibliothèques de publicités ont permis d’identifier plus de 30 sites web différents, mentionnés dans des milliers de publicités, actifs depuis le milieu de l’année 2024, et affichant tous un contenu publicitaire similaire. La majorité des publicités que nous avons trouvées ont été diffusées sur Facebook, et seules quelques publicités ont également été diffusées sur LinkedIn.“, expliquent les chercheurs.
Source : Mandiant
Une fois sur ces sites, les utilisateurs sont invités à profiter de l’outil, par exemple, en procédant à la génération d’une vidéo à l’aide de l’IA. Cependant, au lieu de recevoir le fichier vidéo promis, ils téléchargent, sans le savoir, un fichier ZIP contenant un logiciel malveillant nommé STARKVEIL.
Pourtant, à première vue, l’utilisateur pourrait penser que cette archive contient un fichier vidéo au format MP4. Mais, il s’agit en réalité d’un exécutable. En guise de ruse, les pirates nomment leur fichier de la façon suivante : Lumalabs_1926326251082123689-626.mp4⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀.exe – Ainsi, grâce aux nombreux espaces, l’extension réelle peut être masquée dans l’Explorateur de fichiers si les colonnes ne sont pas assez larges !
“Pour dissimuler davantage le véritable objectif de ce binaire, l’icône Windows .mp4 par défaut est utilisée sur le fichier malveillant.“, précise les chercheurs de Mandiant dans leur rapport.
Source : Mandiant
Ce programme, écrit en Rust, nécessite deux exécutions pour compromettre complètement l’appareil de la victime. Lors de la première exécution, il extrait ses composants et affiche un message d’erreur pour inciter l’utilisateur à le relancer. La seconde exécution déclenche l’installation de divers malwares, notamment GRIMPULL, XWORM et FROSTRIFT, conçus pour voler des informations sensibles sur la machine de la victime. Autrement dit, le malware va collecter les identifiants de connexion, les informations stockées dans les gestionnaires de mots de passe ou encore des données bancaires.
Des millions d’affichages pour ces publicités malveillantes
Selon Mandiant (filiale de Google spécialisée dans la cybersécurité), ces campagnes ont atteint des millions de personnes, y compris en Europe. Mandiant Threat Defense a identifié des milliers de publicités liées à UNC6032 qui ont atteint collectivement des millions d’utilisateurs sur divers réseaux sociaux comme Facebook et LinkedIn.“, peut-on lire. Mandiant affirme que plus de 2.3 millions d’européens ont déjà vu l’une de ces publicités malveillantes.
Facebook a commencé à supprimer ces publicités malveillantes dès 2024, avant même de recevoir des informations de la part de Mandiant. Néanmoins, ce n’est pas suffisant : les pirates adaptent constamment leur tactique pour passer entre les mailles du filet. Ils peuvent utiliser de nouveaux noms de domaine, mais aussi exploiter des comptes légitimes compromis, ces derniers sont alors utilisés pour diffuser des publicités.
Cette campagne illustre bien la manière dont les cybercriminels veulent profiter de l’engouement pour l’IA pour propager des malwares. Elle rappelle l’importance de vérifier l’authenticité des services en ligne sur lesquels on se connecte et de ne pas se fier aveuglément aux publicités.
Des pubs pour des outils IA diffusent des malwares infostealers sur Facebook et LinkedIn
Depuis des mois, des pirates profitent la popularité de l’IA pour diffuser des logiciels malveillants via de fausses publicités sur les réseaux sociaux, notamment sur LinkedIn et Facebook. Faisons le point sur cette menace.
Des publicités trompeuses pour des outils d’IA
Depuis novembre 2024, le groupe de cybercriminels UNC6032, basé au Vietnam, est suivi par les chercheurs en sécurité de chez Mandiant. La raison ? Ce groupe mène une campagne de malvertising à grande échelle ! Les pirates diffusent des publicités malveillantes sur Facebook et LinkedIn, en effectuant la promotion d’outils IA populaires comme Luma AI, Canva Dream Lab et Kling AI. Ces annonces redirigent les victimes vers des sites web contrôlés par les pirates qui imitent les interfaces des outils d’IA.
“Nos recherches dans les deux bibliothèques de publicités ont permis d’identifier plus de 30 sites web différents, mentionnés dans des milliers de publicités, actifs depuis le milieu de l’année 2024, et affichant tous un contenu publicitaire similaire. La majorité des publicités que nous avons trouvées ont été diffusées sur Facebook, et seules quelques publicités ont également été diffusées sur LinkedIn.“, expliquent les chercheurs.
Une fois sur ces sites, les utilisateurs sont invités à profiter de l’outil, par exemple, en procédant à la génération d’une vidéo à l’aide de l’IA. Cependant, au lieu de recevoir le fichier vidéo promis, ils téléchargent, sans le savoir, un fichier ZIP contenant un logiciel malveillant nommé STARKVEIL.
Pourtant, à première vue, l’utilisateur pourrait penser que cette archive contient un fichier vidéo au format MP4. Mais, il s’agit en réalité d’un exécutable. En guise de ruse, les pirates nomment leur fichier de la façon suivante :
Lumalabs_1926326251082123689-626.mp4⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀.exe– Ainsi, grâce aux nombreux espaces, l’extension réelle peut être masquée dans l’Explorateur de fichiers si les colonnes ne sont pas assez larges !“Pour dissimuler davantage le véritable objectif de ce binaire, l’icône Windows .mp4 par défaut est utilisée sur le fichier malveillant.“, précise les chercheurs de Mandiant dans leur rapport.
Ce programme, écrit en Rust, nécessite deux exécutions pour compromettre complètement l’appareil de la victime. Lors de la première exécution, il extrait ses composants et affiche un message d’erreur pour inciter l’utilisateur à le relancer. La seconde exécution déclenche l’installation de divers malwares, notamment GRIMPULL, XWORM et FROSTRIFT, conçus pour voler des informations sensibles sur la machine de la victime. Autrement dit, le malware va collecter les identifiants de connexion, les informations stockées dans les gestionnaires de mots de passe ou encore des données bancaires.
Des millions d’affichages pour ces publicités malveillantes
Selon Mandiant (filiale de Google spécialisée dans la cybersécurité), ces campagnes ont atteint des millions de personnes, y compris en Europe. Mandiant Threat Defense a identifié des milliers de publicités liées à UNC6032 qui ont atteint collectivement des millions d’utilisateurs sur divers réseaux sociaux comme Facebook et LinkedIn.“, peut-on lire. Mandiant affirme que plus de 2.3 millions d’européens ont déjà vu l’une de ces publicités malveillantes.
Facebook a commencé à supprimer ces publicités malveillantes dès 2024, avant même de recevoir des informations de la part de Mandiant. Néanmoins, ce n’est pas suffisant : les pirates adaptent constamment leur tactique pour passer entre les mailles du filet. Ils peuvent utiliser de nouveaux noms de domaine, mais aussi exploiter des comptes légitimes compromis, ces derniers sont alors utilisés pour diffuser des publicités.
Cette campagne illustre bien la manière dont les cybercriminels veulent profiter de l’engouement pour l’IA pour propager des malwares. Elle rappelle l’importance de vérifier l’authenticité des services en ligne sur lesquels on se connecte et de ne pas se fier aveuglément aux publicités.
Source : IT-Connect
Articles récents
Commentaires récents