Les faux téléchargements de ChatGPT et d'InVideo AI diffusent des ransomwares

Cisco Talos a découvert le rançongiciel CyberLock, Lucky_Gh0$t et le malware Numero se faisant passer pour des installateurs de logiciels et d'outils d'IA légitimes. Découvrez comment ces faux installateurs exploitent les entreprises des secteurs de la vente, de la technologie et du marketing.

Des chercheurs en cybersécurité de Cisco Talos ont révélé que la présence croissante de l'intelligence artificielle ( IA ) dans le monde des affaires a ouvert de nouvelles opportunités aux cybercriminels. Les acteurs malveillants dissimulent des logiciels malveillants dans de faux installateurs d'outils d'IA, incitant les entreprises à télécharger des logiciels malveillants. Cette nouvelle vague comprend des rançongiciels comme CyberLock et Lucky_Gh0$t, ainsi qu'un logiciel malveillant destructeur appelé Numero.

Selon les chercheurs, ces faux installateurs d'outils d'IA sont diffusés via divers canaux en ligne, par empoisonnement SEO (manipulation du classement des moteurs de recherche) afin que les faux sites web apparaissent en tête des résultats de recherche. De plus, les réseaux sociaux et les plateformes de messagerie comme Telegram sont utilisés pour diffuser leurs liens malveillants.

Les entreprises, en particulier celles des secteurs de la vente, de la technologie et du marketing, sont des cibles de choix car elles utilisent fréquemment des outils d’IA légitimes pour l’automatisation , l’analyse des données et l’engagement client.

Comme détaillé dans le rapport de Cisco Talos partagé avec Hackread.com avant sa publication le jeudi 29 mai, lorsque des utilisateurs sans méfiance téléchargent des installateurs apparemment inoffensifs, ils invitent sans le savoir des logiciels malveillants sur leurs systèmes, mettant en danger les données commerciales sensibles et les actifs financiers, et érodant la confiance dans les véritables solutions d'IA.

Ce rançongiciel, observé dès février 2025, se fait passer pour une plateforme d'IA de monétisation de leads appelée NovaLeadsAI. Ses opérateurs ont créé un faux site web, « novaleadsaicom », imitant le véritable « novaleads.app ». Ils ont même proposé un « accès gratuit » trompeur pendant la première année pour attirer les victimes.

Une fois téléchargé, un fichier nommé « NovaLeadsAI.exe » déploie le rançongiciel CyberLock. Ce rançongiciel, écrit en PowerShell et intégré au code CSharp, chiffre divers types de fichiers, notamment des documents, des feuilles de calcul, des images et des vidéos, et exige une rançon de 50 000 $ en Monero (XMR).

Dans le cadre d'une tactique de manipulation, les cybercriminels prétendent à tort que la rançon servira à financer l'aide humanitaire dans des régions comme la Palestine, l'Ukraine, l'Afrique et l'Asie. CyberLock tente également d'effacer l'espace libre du disque dur via un outil Windows intégré, « cipher.exe », rendant ainsi la récupération des fichiers supprimés plus difficile.

Cette variantedu ransomware Yashma (appartenant à la série Chaos ) est distribuée via de faux installateurs ChatGPT, généralement sous le nom « ChatGPT 4.0 full version – Premium.exe ». Cet installateur malveillant inclut un fichier appelé « dwn.exe », qui est le ransomware, ainsi que des outils d'IA Microsoft légitimes, susceptibles d'échapper à la détection.

Lucky_Gh0$t chiffre les fichiers de moins de 1,2 Go et a également un comportement destructeur pour les fichiers plus volumineux, les écrasant par un seul caractère. Les victimes reçoivent un identifiant personnel et sont invitées à utiliser une plateforme de messagerie sécurisée pour communiquer.

Ce malware destructeur récemment découvert imite le programme d'installation d'InVideo AI, un outil populaire de création vidéo en ligne. Compilé en janvier 2025, il s'agit d'un malware manipulateur de fenêtres qui s'exécute en permanence sur la machine de la victime, rendant les systèmes Windows inutilisables en interférant avec leur interface graphique. Il évite d'être détecté en utilisant des outils d'analyse de malwares courants comme IDA, x64 debugger et OllyDbg.

Face à l'évolution des menaces, les organisations et les particuliers doivent faire preuve d'une extrême prudence. Vérifiez toujours la source des outils d'IA et téléchargez uniquement des logiciels provenant de fournisseurs de confiance.