Depuis environ 1 an, sont sorties toute une série d'Intelligences Artificielles (IA) génératives importantes. D'abord dans la création d'images (Midjourney, Dall-E) puis dans les moteurs de conversations (ChatGPT). L'efficacité relative de ces IA a créé un engouement certain : elles sont extrêmement efficaces en mimétismes humains, mais totalement incapable de vraie création complètement originale par leur portions de contenus, si on analyse plus finement les choses. Il est même « logique » statistiquement qu'il en soit ainsi par leur fonctionnement technique (en tout cas actuellement … ?).
Cependant cet engouement, dans le monde du business, a créé de véritables euphories à propos des IA, ou même de paniques, c'est selon, chez Google même. On pourrait peut-être même parler d'hystérie : bon nombre de chefs de projets ou de patrons d'entreprises sont persuadés que leur entreprise va mourir s'ils ne suivent pas la course à l'IA, parfois à raison. Mais s'y lancent sans aucune connaissance technique, ni conscience de toutes les implications que ce sujet engendre, localement et globalement. Ni même d'ailleurs souvent les ingénieurs qui mettent en place ou développement ces systèmes.
Dans un tel état social chaotique, il ne fallait pas attendre longtemps pour que des vrais escrocs en profitent.
Ici le nouveau cas d'un faux site publié sur Google Sites. L'URL est de nouveau reçue par un réseau social, soit Facebook. La page fait croire que l'IA de Google Bard, concurrent de ChatGPT, est ouvertement publiée et accessible au download. Comme il s'agit d'une plate-forme de Google, mais pour les sites clients de Google et non pas leurs sites internes (!!), ceci prête à confusion de par le nom du site (étonnant d'ailleurs que Google ne puisse pas prendre en considération le détournement d'un tel nom de site), mais aussi par la copie du vrai listing des changements de code de Google Bard.
Le printscreen du faux site de download de Google Bard :
Les vrais changements du vrai Google Bard :
https://bard.google.com/updates?hl=en
Malgré la prudence légitime de Google de ne pas trop ouvrir au grand jour les recherches poussées sur l'IA, une trop faible prudence sur un autre de leur service soit « site », finit quand même via des escrocs externes à détériorer leur image, même si le malware n'est pas directement stocké chez eux.
Sur le faux site, le lien de téléchargement ne pointe pas sur Google mais sur un fichier d'attachement stocké sur la plate-forme de gestion de projet Trello. L'archive finale, une archive RAR, contient un vrai installeur de Malware Cheval de Troie 💣️💥️ ! L'URL chez Trello permet de deviner l'exploitation d'un fichier attaché dans un des outils de gestion de Trello, mais utilisé en accès direct. De plus l'analyse par VirusTotal (site appartenant aussi à Google!) montre quelques antivirus qui le détectent, mais comme souvent dans les nouvelles campagnes d'infections efficaces, très peu d'antivirus sur la totalité le détectent (et souvent ce ne sont pas les mêmes antivirus sur la continuité du temps). Il est toujours aussi stupéfiant de voir que Google qui possède les 2 sites de publication de sites clients et d'analyse d'antivirus, ne puisse pas correctement mêler ces 2 outils pour bloquer ses propres sites qui pointent sur des liens infectés … (mais ce n'est pas nouveau, et ils ne sont pas les seuls).
Analyse du malware par VirusTotal :
https://www.virustotal.com/gui/file/dd0730019f4ca61b226f6d6a3f93cb67e260fd83b804a8f9b89abf82714cf8e9/detection
Mais encore, quand on analyse avec Urlscan l'URL pointant vers l'archive du malware, et qu'on affiche les liens similaires déjà analysés par Urlscan et pointant sur des archives RAR, alors on peut voir toute une série d'autres malware IA, tous stockés sur Trello, et ce depuis plusieurs mois … Sans doute que la liste est non exhaustive et que le nombre d'archives de malwares qui ont été stockés sur Trello pour infection via Google (ou autres) sont bien plus nombreuses.
Le printscreen des URL similaires à l'infection de fausse IA :
Un autre article (lien article) expliquant la campagne d'infection usurpant Google Bard & ChatGPT, qui date d'un mois (les malwares indiqués via Urlscan datent au moins de 2-3 mois). Mais de nouveaux malwares récent (celui analysés sur VirusTotal d'il y a quelques heures) sont de nouveaux accessibles, ainsi que les faux sites web IA qui les diffusent, y compris les fausses publicités sur Facebook. Résultat : rien n'a changé !
Conclusion
On peut donc voir que les sites populaires de gestion de projet, sont tout autant incapable de gérer au cours du temps les fichiers infectés qu'ils stockent et transitent via leurs outils … Et l'autre engouement pour les sites de gestion de développement faciles et pratiques d'usages, ne sont pas mieux lotis que les acteurs populaires ayant à faire à l'IA. Toute euphorie numérique humaine mal canalisée et mal gérée, finit inévitablement au même résultat :
la prolifération des escrocs et du chaos global de leurs infections …