La propagation de logiciels malveillants ou l'obtention d'un accès initial par le biais de pièces jointes par courriel est la troisième tactique de phishing la plus courante.
En raison de l'ampleur de nos opérations de phishing chez Arsen, nous avons voulu explorer l'utilisation de l'IA générative pour créer des pièces jointes malveillantes.
Cela présente de nombreux cas d'utilisation intéressants, allant de la capacité à mener des opérations de type "black box" pour évaluer et former les utilisateurs contre des menaces très réalistes, à la simulation de menaces réelles pour évaluer le risque de phishing global.
Nous vous exposons tout ces éléments dans cet article.
Génération de charge active
Il n'a pas fallu longtemps pour que l'IA générative soit utilisée pour générer des logiciels malveillants.
Les LLM, en grande partie en raison de leurs données d'entraînement, sont vraiment bons pour produire du code.
Nous avons même vu des études de cas sur comment ChatGPT a été utilisé pour générer des malwares furtifs.
Une particularité très intéressante avec l'IA générative est sa capacité à générer du code de nombreuses manières différentes, créant diverses charges actives sans un schéma évident et répétitif, avec différentes signatures de code à chaque fois.
Ainsi, en utilisant une collection de prompts jailbreakées, les attaquants peuvent générer des variations de droppers qui seraient très difficiles à détecter.
Nous n'allons pas aussi loin chez Arsen et nous arrêtons à la capture de l'intention, de l'événement comportemental qui nous permet de prédire un risque élevé chez les employés.
C'est pourquoi nous n'avons pas d'expérience sur le terrain à partager sur la génération active de logiciels malveillants, mais si vous souhaitez collaborer sur un article avec nous sur le sujet, nous serons heureux de vous donner accès à notre infrastructure de phishing.
Génération de prétexte d'ingénierie sociale
Une technique de phishing que nous avons observée dans la pratique repose sur l'envoi d'une pièce jointe inoffensive qui utilise l'ingénierie sociale pour inciter les gens à cliquer sur un lien et télécharger un logiciel malveillant.
Nous revenons à la génération de contenu — que l'IA générative fait également très bien.
Gardant cette idée d'avoir différents chargements et prétextes pour chaque cible, en évitant la détection de motifs et le surentrainement spécifique, l'IA générative peut être utilisée pour créer des variations de pièces jointes qui pourraient mener à une compromission dans des applications réelles.
Voici comment nous procédons.
Premièrement, nous voulons générer un document texte couramment transféré par e-mail dans un environnement d'entreprise (PDF, Word, …).
Cela ne devrait pas déclencher d'alerte : il est courant d'échanger ces documents par e-mail et tant qu'il n'y a pas de charge active dedans, cela contournera la plupart des filtres.
Deuxièmement, nous incitons fortement l'utilisateur à intéragir avec le contenu. Nous utilisons la curiosité, l'urgence, l'autorité et toutes les techniques de manipulation courantes que nous pouvons déployer pour inciter l'utilisateur à cliquer.
Troisièmement, nous aimons prétendre que quelque chose ne va pas dans le fichier et que les utilisateurs devraient cliquer sur le lien à l'intérieur du document soit pour l'afficher correctement, soit pour patcher leur lecteur de document.
Grâce à l'IA générative, nous pouvons générer beaucoup de variations à la volée et réduire les schémas répétitifs pour ensuite réduire les chances de détection :
- Titre du document
- Contenu du document — qui influencera à son tour sa taille, son apparence et bien sûr, son checksum
- Sujet de l'e-mail
- Contenu de l'e-mail
Ajoutez une randomisation sur le domaine d'envoi et l'infrastructure — si votre kit de phishing ne le permet pas, envoyez-nous un e-mail, nous vous montrerons ce que nous pouvons faire ;) — et vous aurez quelque chose de TRÈS furtif entre vos mains.
Conclusion
J'espère que cet article montre certaines des façons dont l'IA générative peut être utilisée pour générer des charges malveillantes pour vos engagements de phishing.
Le haut niveau de variabilité et d'unicité qui peut être généré avec l'IA augmente la furtivité des attaques et permet des attaques à plus grande échelle en plus de cas d'utilisation spécifiques.
Si vous souhaitez expérimenter avec la simulation de phishing envoyant des pièces jointes générées par genAI, vous pouvez demander une démo ici.