Une nouvelle campagne malveillante utilise des techniques d’empoisonnement des moteurs de recherche (SEO poisoning) et des chatbots d’intelligence artificielle pour infecter les ordinateurs avec un logiciel de minage de cryptomonnaies exploitant les unités de traitement graphique (GPU). Cette méthode permet aux attaquants de détourner la puissance de calcul des machines compromises au profit de leurs propres activités de minage.
Fonctionnement de l’attaque
Selon les informations disponibles, les cybercriminels créent des sites web malveillants qui apparaissent en bonne position dans les résultats de recherche pour des mots-clés liés à des sujets tendance, par exemple des jeux vidéo populaires, des logiciels très demandés ou des actualités technologiques. Lorsqu’un internaute clique sur ces liens trompeurs, il est redirigé vers une page qui télécharge et installe automatiquement le logiciel malveillant.
Parallèlement, les assaillants utilisent des chatbots d’intelligence artificielle pour cibler les utilisateurs. Les chatbots, programmés pour proposer des téléchargements de logiciels ou des mises à jour, invitent la victime à exécuter un fichier qui contient en réalité le mineur de cryptomonnaies. En adoptant une apparence légitime, ces conversations automatisées augmentent la probabilité que l’utilisateur accepte l’installation.
Cible : les cartes graphiques
Le logiciel malveillant est spécifiquement conçu pour utiliser les GPU des machines infectées. Les cartes graphiques sont particulièrement efficaces pour le calcul nécessaire au minage de certaines cryptomonnaies, comme Ethereum (avant sa transition) ou d’autres altcoins. En exploitant ces ressources sans le consentement de l’utilisateur, les attaquants accumulent des gains financiers tout en dégradant les performances de l’ordinateur et en augmentant sa consommation énergétique.
Une menace discrète et persistante
Ce type de menace est difficile à détecter car le logiciel malveillant peut fonctionner en arrière-plan sans alerter l’utilisateur. Les symptômes incluent un ralentissement général de l’appareil, des ventilations bruyantes et une hausse de la température du processeur graphique. Toutefois, les victimes attribuent souvent ces signes à une surcharge de travail normale.
Les experts en cybersécurité recommandent plusieurs mesures de protection : éviter de cliquer sur des liens promotionnels dans les résultats de recherche, télécharger uniquement des logiciels depuis les sites officiels des éditeurs, se méfier des chatbots qui proposent des téléchargements directs et maintenir à jour son antivirus. Il est également conseillé de vérifier les processus en cours dans le gestionnaire de tâches pour repérer une consommation anormale du GPU.
Contexte et implications
L’utilisation de l’empoisonnement SEO n’est pas nouvelle, mais son association avec des chatbots d’IA constitue une évolution préoccupante. Les chatbots, de plus en plus déployés par les entreprises pour le service client, sont détournés par les cybercriminels pour donner une illusion de légitimité. Cette campagne illustre la capacité des attaquants à s’adapter aux technologies émergentes pour élargir leur champ d’action.
Les autorités et les éditeurs de logiciels de sécurité travaillent à identifier les serveurs de commande et à bloquer les sites utilisés. Cependant, la nature évolutive de ces opérations rend difficile une éradication complète. Les utilisateurs sont invités à faire preuve de vigilance et à signaler tout site ou chatbot suspect.
