Malware polymorphe généré par IA : à quoi faut-il s’attendre dans les prochains mois ?

La cybersécurité est aujourd’hui un enjeu majeur pour les entreprises. Malgré l’amélioration constante des solutions de détection, les cyberattaques utilisant des ransomwares, adwares, chevaux de Troie et autres rootkits continuent de faire des victimes. Si dans le passé les antivirus traditionnels avaient la capacité de détecter la majorité des fichiers malveillants, ce n’est plus le cas. Avec l’émergence de l’intelligence artificielle générative comme celle de ChatGPT, les cybercriminels produisent à la demande du code malveillant qui est unique et sur-mesure. Comment cette capacité de nuisance peut-elle se matérialiser dans les prochains mois ? Qu’est-ce qu’un malware polymorphe ? Explications.

Pour comprendre ce qu’est un malware polymorphe, il est important de comprendre comment les premiers antivirus détectaient les menaces. Les antivirus des années 1990 se basaient sur la détection par empreinte également appelée signature virale. Pour faire simple, chaque fichier était analysé au travers d’un calcul algorithmique dans le but d’extraire un résultat sous la forme d’une série de chiffres et de lettres, appelé alors empreinte numérique.

Comme pour l’empreinte digitale de nos doigts, l’empreinte numérique d’un fichier se veut être unique. Pour chaque empreinte, l’antivirus consulte une base de données de menaces connues dite base antivirale afin de déterminer si cette empreinte existe. Pour chaque empreinte présente dans la base antivirale, l’antivirus détermine que le fichier est alors malveillant. En fonction de son niveau de dangerosité, ce dernier peut ainsi le supprimer ou le placer en quarantaine.

Pour contourner cette méthode de détection, et dès l’année 1992, les cybercriminels ont développé de premiers malwares polymorphes. Un malware polymorphe est un programme malveillant qui est généré à partir d’un fichier source mais qui a été légèrement altéré pour que son empreinte numérique soit différente, qu’il ne soit pas une copie conforme. Les malwares polymorphes sont logiquement passés à travers des filtres de détection des antivirus traditionnels, poussant les éditeurs à faire évoluer leur méthode de détection. En réponse, le marché de la cybersécurité verra l’émergence des antivirus nouvelle génération (NGaV), puis des solutions dites de Endpoint protection platform (EPP) pour arriver de nos jours aux solutions de Endpoint Detection and Response (EDR) intégrant une capacité d’analyse comportementale à l’aide d'algorithmes d’intelligences artificielles.

L’émergence de l’intelligence artificielle générative en novembre 2022 a permis aux cybercriminels de passer d’une production artisanale à une échelle industrielle. Simple d’utilisation, ce nouvel outil apporte de nombreux avantages :

• Une capacité de production de cybermenaces à la portée de tous : l’intelligence artificielle générative permet aujourd’hui de développer des programmes à partir de simples instructions écrites. Cette simplicité a pour effet de voir émerger des actes de malveillance par des acteurs jusque-là inconnus. C’est par exemple ce qui a été observé lorsque des adolescents français ont développé en 2023 une fausse application dans le but de voler les accès aux comptes des réseaux sociaux d’influenceurs de renom.
• Entraîner l’intelligence artificielle pour produire des fichiers malveillants à la demande : même si ChatGPT ne permet pas de prime abord de développer des fichiers malveillants, des contournements existent. En entraînant leur propre modèle d’intelligence artificielle générative au seul but de créer des malwares et des e-mails de phishing, les cybercriminels n’ont plus besoin de ChatGPT. Ils sont alors autonomes.
• Générer des menaces ciblées et inconnues jusqu’alors : au-delà de la production du code source, l’intelligence artificielle a la capacité de proposer des modes opératoires et scénarios basés sur les données présentes sur les réseaux sociaux. Le plus souvent au travers de campagnes d’usurpation d’identité (faux comptes, fausses adresses e-mail), ces scénarios engagent la discussion avec la victime en se basant sur les sujets abordés publiquement. La vigilance est donc limitée et la victime se fait compromettre.

En juillet 2023, deux intelligences artificielles dédiées à des actes de malveillance ont fait leur apparition sur le dark web.

La première, intitulée WormGPT, a été découverte par les experts de la société SlashNext, spécialisée dans la rédaction de campagnes de phishing sophistiquées appelées Business Email Compromised (BEC). Ce modèle n’utilise pas la technologie d’OpenAI mais une technologie open source appelée GPT-J. Comme le rapporte Daniel Kelley de la société SlashNext : « WormGPT aurait été formée en utilisant une multitude de sources de données, avec un accent particulier sur les données relatives aux logiciels malveillants. » Si pour le moment cette IA ne semble être utilisée que pour la rédaction de campagnes de phishing, son utilisation pourrait évoluer dans un futur proche.

La seconde intelligence appelée FraudGPT est apparue deux semaines après WormGPT sur les forums cybercriminels. Si WormGPT semble s’orienter sur la rédaction d’articles de phishing, FraudGPT propose au travers d’un abonnement de $200 par mois ou $1700 à l’année de rédiger des e-mails de phishing avancés ou de générer du code malveillant à la demande. Pour l’expert ayant découvert ce service, Rakesh Krishnan, chercheur en cybersécurité : « FraudGPT peut faciliter l'écriture de codes malveillants, la création de logiciels malveillants indétectables, la création d'outils de compromission et l'identification de fuites et de vulnérabilités. ». À l’heure actuelle, 3 000 ventes de ce service auraient été confirmées. De quoi permettre aux acteurs n’ayant pas de compétences techniques de pouvoir passer à l’action.