Les chercheurs en cybersécurité de Sentineone ont identifié un nouveau malware, Malterminal, qui utilise le GPT-4 d’OpenAI pour générer du code malveillant en temps réel. Cette fonctionnalité établit une nouvelle catégorie de menace qui intègre des modèles de langue importants directement dans les opérations de logiciels malveillants. La découverte introduit des logiciels malveillants compatibles LLM, que Sentinelone décrit comme un «changement qualitatif dans l’adversaire commercial». Les fonctions malterminales sont un générateur de logiciels malveillants. Lors de l’exécution, il invite un attaquant à sélectionner une charge utile, offrant des choix tels qu’un encryptor de ransomware ou un shell inversé. Cette sélection est ensuite envoyée comme une invite à l’IA GPT-4, qui répond en générant du code Python adapté au format malveillant demandé. L’une des principales caractéristiques de la maltrier est sa capacité d’évasion. Le code malveillant n’est pas stocké statiquement dans le fichier malware mais est créé dynamiquement pendant l’exécution. Cette génération à la volée complique la détection pour les outils de sécurité traditionnels qui s’appuient sur la numérisation des fichiers statiques pour les signatures malveillantes connues. Les chercheurs de Sentinelone ont confirmé l’intégration GPT-4 en découvrant des scripts Python et un exécutable Windows qui contenait des clés d’API codées en dur et des structures invites spécifiques pour communiquer avec l’IA. Le développement du malware est daté avant la fin 2023. Des chercheurs sont parvenus à cette conclusion parce que le point final de l’API a codé en dur dans le malware a été désactivé à l’époque, faisant de Malterminal malterminal le premier exemple connu de logiciels malveillant alimentés par l’IA. Actuellement, aucune preuve suggère que Malterminal n’a jamais été déployé dans une attaque en direct. Cela indique qu’il peut avoir été créé comme preuve de concept ou utilisé comme un outil pour les exercices d’association rouge. Le rapport de Sentinelone a souligné les défis posés par ce nouveau type de logiciel malveillant.
« Avec la possibilité de générer une logique malveillante et des commandes à l’exécution, les logiciels malveillants compatibles LLM introduisent de nouveaux défis pour les défenseurs. »
Le rapport a également conçu la situation actuelle comme une opportunité pour la communauté de la cybersécurité. « Bien que l’utilisation de logiciels malveillants compatibles LLM soit toujours limitée et largement expérimentale, ce stade de développement précoce donne aux défenseurs l’occasion d’apprendre des erreurs des attaquants et d’ajuster leurs approches en conséquence. » Les chercheurs ont ajouté: «Nous nous attendons à ce que les adversaires adaptent leurs stratégies, et nous espérons que de nouvelles recherches pourront s’appuyer sur le travail que nous avons présenté ici.»
