Des pirates informatiques ont utilisé une fausse page Facebook de l'IA Midjourney pour promouvoir un logiciel malveillant auprès de 1,2 million de personnes.
ChatGPT, Gemini, Midjourney ou encore Sora, autant de générateurs de contenus par intelligence artificielle qui sont souvent accessibles gratuitement, bien que certains d'entre eux exigent un paiement, soit pour l'accès aux fonctions de base, soit pour des options. C'est justement cette gratuité très recherchée par les utilisateurs qui sert d'appât aux hackers pour piéger leurs victimes. C'est ce que rapporte Bitdefender, connu pour son logiciel antivirus éponyme, qui détaille comment les pirates exploitent la popularité croissante des outils d'IA et des réseaux sociaux pour distribuer des logiciels malveillants à un large public en leur faisant miroiter des versions d'essai gratuites.
Le modus operandi demeure similaire : prendre le contrôle d'une page Facebook, de préférence avec un grand nombre d'abonnés, puis la transformer pour qu'elle ressemble au compte officiel d'un service d'IA. Que ce soit ChatGPT, Sora, Gemini ou d'autres, presque tous sont visés, comme Clubic l'avait déjà signalé en 2023. Parmi ces fausses pages, celle de Midjourney, qui permet de générer des images à partir de texte, s'est récemment distinguée.
La fausse page Facebook de Midjourney aux 1,2 million d'abonnés
Les hackers exploitent activement le système de publicité sponsorisée de Meta pour diffuser des logiciels malveillants. Ils commencent par prendre le contrôle de comptes Facebook existants, puis modifient les informations et les images pour donner l'impression que la page est gérée par des outils d'IA réputés. Ensuite, ils renforcent la crédibilité de la page en publiant des actualités et des photos générées par l'IA, ainsi que des publicités promettant des améliorations de service et des liens vers des essais gratuits ou des versions améliorées. L'objectif est d'inciter les utilisateurs à cliquer sur des liens malveillants et à télécharger des logiciels malveillants sur leurs appareils. Bien que de nombreuses publicités incitent à télécharger depuis Dropbox ou Google Drive, la campagne de Midjourney utilise une stratégie différente.
En juin 2023, une fausse page intitulée Mid-Journey AI a été créée sur Facebook à partir d'un profil existant piraté. Les pirates informatiques y publiaient des images générées par l'IA et des posts pour faire la publicité d'une version de l'outil à installer sur son ordinateur.
Dans tous les cas, un lien est fourni. Cliquer dessus fait atterrir sur l'une des multiples fausses pages web imitant le site de Midjourney. On y trouve un autre lien pour récupérer l'outil, sauf qu'il déclenche le téléchargement d'un malware. La fausse page Facebook est restée en ligne jusqu'au 8 mars 2024 et comptait 1,2 million d'abonnés.
4 infostealers au menu des hackers : Rilide Stealer, Vidar Stealer, IceRAT et Nova Stealer
Les cybercriminels ont mis en place un système de distribution de logiciels malveillants très attractif grâce au modèle commercial du « Malware-as-a-Service » (MaaS), qui permet à tout individu malveillant de mener plusieurs attaques de front et multiplier les fraudes.
Ces activités incluent le vol d'informations sensibles, la compromission de comptes en ligne, la commission de fraudes, la perturbation des opérations ou encore l'exigence d'une rançon après avoir crypté des données sur un système compromis.
Les campagnes publicitaires malveillantes analysées par les chercheurs de Bitdefender ont propagé divers logiciels malveillants présentant de sérieux risques pour les appareils, les données et l'identité des utilisateurs. Les utilisateurs ayant interagi avec ces publicités diffusant des logiciels malveillants pourraient avoir involontairement téléchargé et installé des fichiers nuisibles sur leurs appareils : Rilide Stealer, Vidar Stealer, IceRAT (écrit en JPHP) et Nova Stealer.
Les posts sponsorisés ciblaient des hommes entre 25 et 55 ans dans plusieurs pays d'Europe, dont la France. Difficile de dire combien ont effectivement téléchargé le malware. Ce qui est sûr, c'est que les pirates ont déjà recréé une nouvelle page se faisant passer pour Midjourney. Le 26 mars dernier, elle comptait déjà 637 000 abonnés.
21 novembre 2024 à 11h06