Sécurité informatique Un malware alimenté par l'IA menace de submerger les...

Un malware alimenté par l'IA menace de submerger les systèmes de détection avec la création de 10 000 variantes

Les chercheurs en cybersécurité tirent la sonnette d'alarme sur l'utilisation abusive potentielle des modèles de langage volumineux (LLM) pour accélérer le développement de logiciels malveillants. Une nouvelle analyse réalisée par l'unité 42 de Palo Alto Networks révèle que les LLM, bien qu'ils ne soient pas capables de créer des logiciels malveillants à partir de zéro, peuvent réécrire et masquer le code malveillant existant à grande échelle, créant des variantes qui échappent à la détection dans 88 % des cas.

Cela soulève des inquiétudes cruciales quant à la manière dont les acteurs de la menace pourraient exploiter l’IA générative pour contourner les systèmes de détection, dégrader les modèles d’apprentissage automatique et déployer un arsenal de logiciels malveillants en constante expansion .

Les mécanismes de création de logiciels malveillants améliorés par l'IA

« Selon l'Unité 42, les criminels peuvent inciter les LLM à effectuer des transformations sur le code JavaScript malveillant, ce qui rend plus difficile pour les systèmes de détection de signaler les scripts réécrits . Contrairement aux outils d'obscurcissement traditionnels qui génèrent des résultats moins convaincants, les réécritures pilotées par LLM semblent plus naturelles et plus difficiles à détecter. »

Les principales techniques de transformation comprennent :

  • Renommer des variables
  • Séparation de cordes
  • Insertion de code indésirable
  • Suppression des espaces blancs
  • Réimplémentation complète du code

Chaque itération génère une nouvelle variante de malware qui conserve la fonctionnalité malveillante d'origine tout en réduisant considérablement ses chances d'être détectée.

L'unité 42 a démontré cette approche en utilisant des LLM pour créer 10 000 variantes JavaScript à partir d'échantillons de malwares existants. Ces variantes ont réussi à tromper les classificateurs de malwares, y compris les modèles largement utilisés comme PhishingJS et Innocent Until Proven Guilty (IUPG). Dans de nombreux cas, même la plateforme VirusTotal n'a pas réussi à détecter les scripts réécrits comme malveillants.

Les dangers de l'obscurcissement de l'IA

Contrairement aux outils plus anciens comme obfuscator.io, qui produisent des modèles plus faciles à détecter et à identifier, les réécritures basées sur LLM sont intrinsèquement plus sophistiquées. Elles semblent plus proches du code légitime, ce qui les rend plus difficiles à identifier pour les modèles d'apprentissage automatique (ML) et les outils antivirus.

L’impact de cette méthode est profond :

  • Les classificateurs de logiciels malveillants sont amenés à étiqueter les scripts malveillants comme bénins.
  • Les modèles ML souffrent d’une dégradation des performances, peinant à suivre l’évolution constante des variantes de logiciels malveillants.
  • Les systèmes de détection risquent de devenir obsolètes à mesure que les adversaires génèrent en permanence de nouveaux logiciels malveillants indétectables.

Exploiter les LLM pour étendre la cybercriminalité

Cette tendance ne se limite pas au développement de logiciels malveillants. Les acteurs malveillants exploitent des outils malveillants comme WormGPT, qui utilisent l'IA générative pour automatiser les campagnes de phishing et créer des attaques d'ingénierie sociale convaincantes adaptées à des victimes spécifiques.

Alors que les fournisseurs de LLM ont mis en place des garde-fous pour limiter les abus, comme le récent blocage par OpenAI de 20 opérations trompeuses en octobre 2024, les acteurs de la menace trouvent constamment des moyens de contourner ces restrictions.

Le côté positif : combattre le feu par le feu

Malgré les risques, les mêmes techniques basées sur le LLM utilisées pour masquer les programmes malveillants peuvent également aider les défenseurs. L’unité 42 suggère d’utiliser ces méthodes d’IA pour générer des données de formation qui améliorent la robustesse des modèles de détection de programmes malveillants. En fournissant aux classificateurs davantage d’exemples de code masqué, les chercheurs pourraient potentiellement renforcer leur capacité à détecter même les variantes les plus avancées.

Vulnérabilités émergentes de l'IA : attaque TPUXtract

L'essor des malwares basés sur LLM n'est pas la seule menace liée à l'IA à faire la une des journaux. Des chercheurs de l'Université d'État de Caroline du Nord ont dévoilé une attaque par canal auxiliaire, baptisée TPUXtract, capable de voler les architectures de modèles d'IA des unités de traitement de tenseurs Edge (TPU) de Google.

En capturant les signaux électromagnétiques émis lors des inférences des réseaux neuronaux, les attaquants peuvent extraire des détails tels que les types de couches, les numéros de nœuds, les tailles de filtre et les fonctions d'activation avec une précision de 99,91 %. Bien que cette attaque nécessite un accès physique à l'appareil et un équipement coûteux, elle présente un risque sérieux pour la propriété intellectuelle et pourrait faciliter les cyberattaques ultérieures.

Ce que cela signifie pour la cybersécurité

L’ évolution rapide de l’IA générative est une arme à double tranchant pour la cybersécurité . Si elle ouvre de nouvelles perspectives en matière d’innovation, elle fournit également des outils sans précédent aux cybercriminels.

  • Les organisations doivent agir de manière proactive , en investissant dans des systèmes de détection avancés capables de s’adapter aux techniques d’obfuscation basées sur l’IA.
  • Les décideurs politiques devraient établir des lignes directrices claires pour l’utilisation éthique de l’IA tout en appliquant des contrôles plus stricts pour empêcher toute utilisation abusive.
  • Les chercheurs en sécurité doivent exploiter l’IA pour devancer leurs adversaires , en développant des systèmes résilients capables de contrer les menaces en constante évolution.

L'avenir des logiciels malveillants basés sur l'IA

La capacité des LLM à créer 10 000 variantes de malwares et à échapper à la détection dans 88 % des cas est un rappel brutal de la sophistication croissante des cybermenaces. À mesure que la technologie évolue, nos défenses doivent également évoluer. Les entreprises, les gouvernements et les professionnels de la cybersécurité doivent adopter des stratégies innovantes pour garder une longueur d’avance sur les acteurs malveillants et protéger le monde numérique des attaques basées sur l’IA.

Chargement...