Une nouvelle souche de logiciels malveillants alimentés par l'IA fait déjà les gros titres de la communauté de la cybersécurité. Baptisée "BlackMamba", cette attaque par keylogging est capable d'échapper à la plupart des solutions de sécurité EDR (endpoint detection and response) existantes.
Examinons de plus près ce qu'est cette attaque, comment elle fonctionne et pourquoi elle est si dangereuse.
BlackMamba est un enregistreur de frappe qui utilise des techniques d'intelligence artificielle pour échapper aux solutions de sécurité EDR. Ce qui le rend si difficile à détecter, c'est qu'il peut être personnalisé à la volée sans jamais toucher au disque. Cela permet aux attaquants d'adapter rapidement leurs attaques afin de mieux échapper à la détection.
Les chercheurs de HYAS ont découvert que "BlackMamba utilise un exécutable bénin qui s'adresse à une API à haute réputation (OpenAI) au moment de l'exécution, afin de renvoyer un code malveillant synthétisé nécessaire pour voler les frappes clavier d'un utilisateur infecté. Il exécute ensuite le code généré dynamiquement dans le contexte du programme bénin à l'aide de la fonction exec() de Python. Chaque fois que BlackMamba s'exécute, il re-synthétise sa capacité d'enregistrement des frappes au clavier, ce qui rend le composant malveillant de ce logiciel véritablement polymorphe. BlackMamba a été testé à de nombreuses reprises par un EDR de pointe, dont nous tairons le nom, et n'a donné lieu à aucune alerte ou détection.
BlackMamba se distingue également des autres enregistreurs de frappe par sa capacité à identifier les applications en cours d'exécution sur le système et à adapter son comportement en conséquence. Par exemple, si un utilisateur utilise une application bureautique telle que Microsoft Word ou Excel, BlackMamba capturera les données plus rapidement afin d'accéder aux documents sensibles ou aux feuilles de calcul stockés sur l'ordinateur.
La sophistication même de BlackMamba le distingue également des autres programmes malveillants. Il utilise diverses méthodes d'obscurcissement (y compris l'emballage de code) afin d'éviter d'être détecté par les logiciels antivirus et d'autres mesures de sécurité. Il utilise également des canaux de communication cryptés pour exfiltrer les données volées et communiquer avec les serveurs de commandement et de contrôle (C2), ce qui rend encore plus difficile pour les défenseurs de détecter et d'interrompre l'attaque avant qu'elle ne fasse des dégâts.
BlackMamba est un virus polymorphe, c'est-à-dire un type de logiciel malveillant programmé pour modifier de façon répétée son apparence ou ses fichiers de signature grâce à de nouvelles routines de décryptage. Du point de vue de la sécurité informatique, les solutions de sécurité traditionnelles telles que les EDR s'appuient sur des systèmes d'intelligence des données multicouches pour lutter contre les menaces les plus sophistiquées ; et la plupart des contrôles automatisés prétendent prévenir les modèles de comportement nouveaux ou irréguliers, mais dans la pratique, c'est très rarement le cas.
En raison de la nature polymorphe de BlackMamba, de nombreux outils de cybersécurité traditionnels qui reposent sur une détection basée sur les signatures, tels que les solutions antivirus ou antimalware, ne parviennent pas à reconnaître et à bloquer la menace.
Les attaques polymorphes suivent souvent le processus suivant :
L'émergence de logiciels malveillants dotés d'IA comme BlackMamba souligne à quel point il est important pour les organisations de rester vigilantes face aux cybermenaces. Les équipes informatiques doivent s'assurer que la protection de leurs terminaux est à jour, complète et capable de détecter des menaces avancées comme celle-ci, avant qu'elles ne causent de graves dommages. En outre, les employés doivent être formés aux meilleures pratiques, comme reconnaître les courriels d'hameçonnage et éviter les liens ou les téléchargements suspects en ligne, afin de minimiser le risque d'infection par des programmes malveillants tels que BlackMamba. En prenant ces mesures, les organisations peuvent réduire considérablement leurs risques d'être victimes de ce type d'attaque sophistiquée. En comprenant le danger que représente BlackMamba, les organisations peuvent prendre des mesures pour protéger leurs réseaux et leurs données.
Alors que la cybercriminalité continue d'évoluer et de devenir plus sophistiquée, il est important que les organisations restent informées des nouvelles menaces telles que BlackMamba afin de garder une longueur d'avance sur les attaquants. Avec les bons outils et la bonne formation, les entreprises peuvent se défendre efficacement contre ces attaques de keylogging avancées, alimentées par l'intelligence artificielle.