Des pages de phishing imitant WormGPT font surface sur le Dark web
octobre 2023 par Marc Jacob
Les experts de l’équipe Kaspersky Digital Footprint Intelligence ont découvert une série de sites Web sur le dark web qui proposent à la vente un faux accès à l’outil d’IA malveillant WormGPT. Ces sites présentent des caractéristiques similaires à des pages de phishing, notamment au niveau de la conception, des prix affichés et des différentes devises de paiement proposées, certains de ces sites exigeant un paiement initial pour accéder à une version d’essai. Cette tendance, bien qu’elle ne constitue pas une menace immédiate pour les utilisateurs, souligne la popularité croissante des alternatives aux modèles GPT pilotés par IA, et témoigne de l’importance de disposer de solutions de cybersécurité robustes.
La communauté cybercriminelles a commencé à exploiter les capacités de l’IA pour faciliter ses activités malveillantes, et le darknet fournit actuellement une gamme de modèles de langage spécifiquement conçus à des fins de piratage tels que le BEC (business email compromise), la création de logiciels malveillants, les attaques de phishing, et bien d’autres. L’un de ces modèles se nomme WormGPT, il s’agit d’une version malveillante de ChatGPT qui, contrairement à son homologue légitime, ne comporte pas de limites « éthiques » spécifiques, ce qui en fait un outil efficace pour les cybercriminels qui cherchent à mener des attaques, par exemple, la compromission des courriels d’entreprise (BEC).
Il n’est pas rare que les acteurs malveillants utilisent souvent la popularité de certains produits et marques pour arriver à leur fin, et le cas de WormGPT ne fait pas exception ici. Les experts de Kaspersky ont pu glaner, sur les forums du dark web et les canaux Telegram illicites, des offres donnant un faux accès à l’outil d’IA malveillant, prenant pour cible d’autres cybercriminels en mettant en œuvre des techniques de phishing.
Plusieurs de ces sites ont été retrouvés, et ils diffèrent considérablement à plusieurs égards : bien qu’ils s’agissent de pages de phishing typiques, leur conception et les prix qu’elles affichent sont différents. Les méthodes de paiement varient également, allant des crypto-monnaies, comme proposé initialement par l’auteur derrière WormGPT, aux cartes de crédit et aux virements bancaires.
Exemples de conception et de prix présentés sur les pages d’hameçonnage suspectes de WormGPT
En outre, les pages d’hameçonnage suspectes proposent une version d’essai, mais l’accès n’est accordé qu’après paiement.
Exemple d’un schéma de phishing suspect utilisant le nom WormGPT
« Sur le dark web, il est impossible de distinguer les ressources malveillantes avec une certitude absolue. Cependant, de nombreux éléments de preuve indirects suggèrent que les sites Web découverts sont effectivement des pages d’hameçonnage. Les auteurs de la version originale de WormGPT ont émis un avertissement et partagé quelques conseils pour vérifier l’authenticité des offres se faisant passer pour eux. Il est bien connu que les cybercriminels cherchent souvent à se tromper les uns les autres. Cependant, les récentes tentatives de phishing portant sur cet outil témoignent du niveau de popularité de ces outils d’IA malveillants au sein de la communauté cybercriminelle. Ces modèles, dans une certaine mesure, facilitent l’automatisation des attaques, soulignant ainsi l’importance croissante des solutions de cybersécurité de confiance », explique Alisa Kulishenko, analyste de l’empreinte numérique chez Kaspersky.