Πλαστές γεννήτριες βίντεο μολύνουν Windows και macOS

Οι πλαστές γεννήτριες εικόνων και βίντεο τεχνητής νοημοσύνης μολύνουν τα Windows και το macOS με το κακόβουλο λογισμικό Lumma Stealer και AMOS που κλέβει πληροφορίες, που χρησιμοποιούνται για την κλοπή διαπιστευτηρίων και πορτοφολιών κρυπτονομισμάτων από μολυσμένες συσκευές.

Το Lumma Stealer είναι κακόβουλο λογισμικό των Windows και το AMOS είναι για macOS, αλλά και τα δύο κλέβουν πορτοφόλια και cookie κρυπτονομισμάτων, διαπιστευτήρια, κωδικούς πρόσβασης, πιστωτικές κάρτες και ιστορικό περιήγησης από το Google Chrome, το Microsoft Edge, το Mozilla Firefox και άλλα προγράμματα περιήγησης Chromium.

Αυτά τα δεδομένα συλλέγονται σε ένα αρχείο και αποστέλλονται πίσω στον εισβολέα, όπου μπορεί να χρησιμοποιήσει τις πληροφορίες σε περαιτέρω επιθέσεις ή να τις πουλήσει σε αγορές εγκλήματος στον κυβερνοχώρο.

Οι γεννήτριες εικόνων ψεύτικης τεχνητής νοημοσύνης ωθούν το Lumma Stealer

Τον περασμένο μήνα, παράγοντες απειλών δημιούργησαν ψεύτικους ιστότοπους που υποδύονται έναν επεξεργαστή βίντεο και εικόνας με τεχνητή νοημοσύνη που ονομάζεται EditPro.

Όπως ανακάλυψε ερευνητής κυβερνοασφάλειας g0njxaοι ιστότοποι προωθούνται μέσω αποτελεσμάτων αναζήτησης και διαφημίσεων στο X που μοιράζονται ψεύτικα πολιτικά βίντεο, όπως ο Πρόεδρος Μπάιντεν και ο Τραμπ να απολαμβάνουν μαζί παγωτό.

Κάνοντας κλικ στις εικόνες μεταφέρεστε σε ψεύτικους ιστότοπους για την εφαρμογή EditProAI, με editproai[.]pro που δημιουργήθηκε για να προωθήσει το κακόβουλο λογισμικό των Windows και το editproai[.]org για να προωθήσει κακόβουλο λογισμικό macOS.

Οι ιστότοποι έχουν επαγγελματική εμφάνιση και περιέχουν ακόμη και το πανταχού παρόν πανό cookie, που τους κάνει να φαίνονται και να αισθάνονται νόμιμοι.

Ωστόσο, κάνοντας κλικ στους συνδέσμους “Λήψη τώρα” θα γίνει λήψη ενός εκτελέσιμου αρχείου που προσποιείται ότι είναι η εφαρμογή EditProAI. Για χρήστες Windows, το αρχείο ονομάζεται “Edit-ProAI-Setup-newest_release.exe” [VirusTotal] και για macOS, ονομάζεται “EditProAi_v.4.36.dmg” [VirusTotal].

Το κακόβουλο λογισμικό των Windows υπογράφεται από αυτό που φαίνεται να είναι ένα κλεμμένο πιστοποιητικό υπογραφής κώδικα από το Softwareok.com, έναν προγραμματιστή δωρεάν λογισμικού.

Ο G0njxa λέει ότι το κακόβουλο λογισμικό χρησιμοποιεί έναν πίνακα στο “proai[.]club/panelgood/” για αποστολή κλεμμένων δεδομένων, τα οποία στη συνέχεια μπορούν να ανακτηθούν αργότερα από τους παράγοντες της απειλής.

Ενα Αναφορά AnyRun δείχνει την εκτέλεση της παραλλαγής των Windows, με την υπηρεσία sandbox να εντοπίζει το κακόβουλο λογισμικό ως Lumma Stealer.

Εάν έχετε κατεβάσει αυτό το πρόγραμμα στο παρελθόν, θα πρέπει να θεωρήσετε ότι όλοι οι αποθηκευμένοι κωδικοί πρόσβασης, τα πορτοφόλια κρυπτονομισμάτων και οι έλεγχοι ταυτότητας έχουν παραβιαστεί και να τα επαναφέρετε αμέσως με μοναδικούς κωδικούς πρόσβασης σε κάθε ιστότοπο που επισκέπτεστε.

Θα πρέπει επίσης να ενεργοποιήσετε τον έλεγχο ταυτότητας πολλαπλών παραγόντων σε όλους τους ευαίσθητους ιστότοπους, όπως ανταλλακτήρια κρυπτονομισμάτων, διαδικτυακές τραπεζικές συναλλαγές, υπηρεσίες email και χρηματοοικονομικές υπηρεσίες.

Το κακόβουλο λογισμικό κλοπής πληροφοριών έχει σημειώσει τεράστια ανάπτυξη τα τελευταία χρόνια, με τους παράγοντες απειλών να διεξάγουν τεράστιες παγκόσμιες επιχειρήσεις για να κλέψουν τα διαπιστευτήρια και τα διακριτικά ελέγχου ταυτότητας των ανθρώπων.

Άλλες καμπάνιες που ώθησαν πρόσφατα τους infotealers περιλαμβάνουν τη χρήση τρωτών σημείων zero-day, ψεύτικες επιδιορθώσεις σε ζητήματα GitHub και ακόμη και ψεύτικες απαντήσεις στο StackOverflow.

Τα κλεμμένα διαπιστευτήρια χρησιμοποιούνται στη συνέχεια για την παραβίαση εταιρικών δικτύων, τη διεξαγωγή καμπανιών κλοπής δεδομένων όπως είδαμε με τις μαζικές παραβιάσεις λογαριασμών SnowFlake και την πρόκληση χάους καταστρέφοντας τις πληροφορίες δρομολόγησης δικτύου.