Microsoft autoriserait la diffusion de publicités malveillantes sur AI Chat de Bing

Plus tôt cette année, Microsoft a annoncé le Bing AI Chat qui offre aux utilisateurs une manière intuitive d’interagir avec le moteur de recherche Bing. Depuis son lancement, Bing AI a reçu plusieurs mises à jour pour améliorer l’expérience et apporter de nouvelles fonctionnalités .

Cependant, il semble que le nouveau chatbot de Microsoft ne soit pas parfait. Selon un rapport publié par Malwarebytes , l’IA de Bing diffuse des publicités malveillantes auprès des utilisateurs. Alors que tout le monde s’attendait à ce que Microsoft injecte des publicités dans l’IA de Bing, la société permet actuellement à des acteurs malveillants de proposer des sites Web malveillants à des utilisateurs sans méfiance.

Bing AI ajoute actuellement des hyperliens vers du texte lorsqu’il répond aux requêtes des utilisateurs et parfois, ces hyperliens sont des publicités sponsorisées. Cependant, lorsque Malwarebytes a demandé à Bing AI comment télécharger Advanced IP Scanner, il a fourni un lien hypertexte vers un site Web malveillant au lieu du site officiel.

Bien que Microsoft place une petite étiquette publicitaire à côté du lien, elle est facile à ignorer et un utilisateur sans méfiance n’y réfléchira pas à deux fois avant de cliquer sur le lien et de télécharger un fichier qui pourrait très bien endommager son système.

Dans ce cas, l’annonce ouvrait une fausse URL qui filtrait le trafic et dirigeait les vrais utilisateurs vers un faux site Web qui imite le site Web officiel d’Advanced IP Scanner. Une fois que quelqu’un exécute le programme d’installation exécutable, le script tente de se connecter à une adresse IP externe.

Malheureusement, Malwarebytes n’a pas trouvé l’intention finale ni la charge utile, mais il aurait facilement pu s’agir d’un logiciel espion ou d’un ransomware.

En cliquant sur le premier lien, les utilisateurs sont redirigés vers un site Web (mynetfoldersip[.]cfd) dont le but est de filtrer le trafic et de séparer les vraies victimes des robots, des bacs à sable ou des chercheurs en sécurité. Pour ce faire, il vérifie votre adresse IP, votre fuseau horaire et divers autres paramètres système tels que le rendu Web qui identifie les machines virtuelles.

Les vrais humains sont redirigés vers un faux site (advenced-ip-scanner[.]com) qui imite le site officiel tandis que d’autres sont envoyés vers une page leurre. L’étape suivante consiste pour les victimes à télécharger le prétendu programme d’installation et à l’exécuter.

Bien qu’il ne s’agisse que d’un exemple, il y a de fortes chances que n’importe qui puisse en profiter en créant un compte publicitaire Microsoft et en lançant une campagne marketing. À première vue, Microsoft ne vérifie pas vraiment les campagnes une fois qu’elles sont soumises pour s’assurer qu’elles respectent les directives et ne ciblent pas les utilisateurs.