Gli installatori falsi per gli strumenti di intelligenza artificiale (AI) come Openai Chatgpt e Invideo AI vengono utilizzati come esche per propagare varie minacce, come le famiglie di ransomware Cyberlock e Lucky_GH0 $ T e un nuovo malware soprannominato Numero.
“Cyberlock Ransomware, sviluppato utilizzando PowerShell, si concentra principalmente sulla crittografia di file specifici sul sistema della vittima”, il ricercatore di Cisco Talos Chetan Raghuprasad disse In un rapporto pubblicato oggi. “Lucky_gh0 $ t ransomware è un’altra variante del Yashma Ransomware, che è la sesta iterazione della serie Ransomware del caos, con solo lievi modifiche al binario ransomware. “
Numero, d’altra parte, è un malware distruttivo che ha un impatto sulle vittime manipolando i componenti grafici dell’interfaccia utente (GUI) del loro sistema operativo Home windows, rendendo così inutilizzabili le macchine.
La società di sicurezza informatica ha affermato che le versioni legittime degli strumenti AI sono popolari nel settore delle vendite di business-to-business (B2B) e nel settore del advertising and marketing, suggerendo che individui e organizzazioni in queste industrie sono l’obiettivo principale degli attori delle minacce alla campagna.
Uno di questi siti Internet di Soluzione AI falsa è “Novaleadsai (.) Com”, che probabilmente impersona una piattaforma di monetizzazione principale chiamata NovaLeads. Si sospetta che il sito Internet sia promosso tramite le tecniche di avvelenamento dell’ottimizzazione dei motori di ricerca (website positioning) per aumentare artificialmente le sue classifiche nei motori di ricerca on-line.
Gli utenti sono quindi invitati a scaricare il prodotto affermando di offrire un accesso gratuito allo strumento per il primo anno, con un abbonamento mensile di $ 95 in seguito. Ciò che viene effettivamente scaricato è un archivio zip contenente un eseguibile .NET (“NovaLeadsai.exe”) che è stato compilato il 2 febbraio 2025, lo stesso giorno in cui è stato creato il dominio fasulle. Il binario, da parte sua, funge da caricatore per distribuire il ransomware Cyberlock a base di PowerShell.
Il ransomware è attrezzato per intensificare i privilegi e rieseezionare con le autorizzazioni amministrative, se non già, e crittografa i file situati nelle partizioni “C: ,” “D: ,” e “E: ” che corrispondono a una certa serie di estensioni. Lancia quindi una nota di riscatto chiedendo che un pagamento di $ 50.000 venga effettuato in Monero in due portafogli entro tre giorni.
In una svolta interessante, l’attore delle minacce continua a rivendicare nel riscatto, nota che i pagamenti saranno assegnati per sostenere donne e bambini in Palestina, Ucraina, Africa, Asia e altre regioni in cui “le ingiustizie sono una realtà quotidiana”.
 |
| Estensioni di file mirate da cyberlock ransomware |
“Ti chiediamo di considerare che questo importo è piccolo rispetto alle vite innocenti che si stanno perdendo, in particolare i bambini che pagano il prezzo finale”, afferma la nota. “Sfortunatamente, abbiamo concluso che molti non sono disposti advert agire volontariamente per aiutare, il che rende questa l’unica soluzione possibile.”
L’ultimo passo prevede l’attore della minaccia che impiega il binario di vita (LOLBIN) “cipher.exe“con il Opzione “/W” Rimuovere lo spazio del disco non utilizzato disponibile sull’intero quantity al superb di ostacolare il recupero forense dei file eliminati.
Talos ha affermato di aver anche osservato un attore di minaccia che distribuisce il ransomware Lucky_GH0 $ T con il pretesto di un falso installatore per una versione premium di CHATGPT.
“L’installatore SFX dannoso includeva una cartella che conteneva il ransomware Lucky_GH0 $ T eseguibile con il nome file” Dwn.exe “, che imita il legittimo eseguibile Microsoft” Dwm.exe “, ha detto Raghuprasad. “La cartella conteneva anche legittimi strumenti AI open supply Microsoft disponibili sul loro repository GitHub per sviluppatori e information scientist che lavorano con l’intelligenza artificiale, in particolare all’interno dell’ecosistema di Azure.”
Se la vittima eseguiva il file di installazione SFX dannoso, lo script SFX esegue il payload Ransomware. Una variante di ransomware Yashma, Lucky_GH0 $ T punta a file di dimensioni circa 1,2 GB per la crittografia, ma non prima di eliminare copie e backup dell’ombra del quantity.
La nota di riscatto caduta alla superb dell’attacco embrace un ID di decrittazione personale unico e indica alle vittime di contattarle tramite l’app di messaggistica della sessione per un pagamento di Ransom e di ottenere un decritto.
Ultimo ma non meno importante, anche gli attori delle minacce stanno incassando il crescente uso di strumenti di intelligenza artificiale per seminare il panorama on-line con un installatore contraffatto per Invideo AI, una piattaforma di creazione video basata sull’intelligenza artificiale, per distribuire un malware distruttivo Numero.
Il programma di installazione fraudolento funge da contagocce contenente tre componenti: un file batch di Home windows, uno script Visible Fundamental e l’eseguibile NUMERE. Quando viene lanciato l’installatore, il file batch viene eseguito attraverso la shell di Home windows in un ciclo infinito, che, a sua volta, esegue Numero e quindi lo interrompe temporaneamente per 60 secondi eseguendo lo script VB tramite CScript.
“Dopo aver ripreso l’esecuzione, il file batch termina il processo di malware Numero e riavvia la sua esecuzione”, ha affermato Talos. “Implementando il ciclo infinito nel file batch, il malware Numero viene continuamente eseguito sulla macchina da vittima.”
Un eseguibile Home windows a 32 bit scritto in C ++, Numero controlla la presenza di strumenti di analisi del malware e debugger tra i processi in esecuzione e procede a sovrascrivere il titolo, i pulsanti e il contenuto della finestra del desktop e la stringa numerica “1234567890.” Fu compilato il 24 gennaio 2025.
La divulgazione arriva quando il mandiant di proprietà di Google ha rivelato i dettagli di una campagna di malvertini che utilizza annunci dannosi Su Fb e LinkedIn per reindirizzare gli utenti a falsi siti Internet che impersonano gli strumenti di videogioco legittimi come Luma AI, Canva Dream Lab e Kling AI, tra gli altri.
L’attività, che è stata anche recentemente esposta da Morfisec E Punto di controllo All’inizio di questo mese, è stato attribuito a un cluster di minacce The Tech Big Tracks come UNC6032, che si valuta per avere un Nexus del Vietnam. La campagna è stata attiva da almeno metà del 2024.
L’attacco si svolge in questo modo: gli utenti ignari che atterrano su questi siti Internet sono incaricati di fornire un immediate di enter per generare un video. Tuttavia, come precedentemente osservato, l’enter non ha importanza, poiché la responsabilità principale del sito Internet è quella di avviare il obtain di un payload di contagocce basato su ruggine chiamato Starkveil.
“(Starkveil) lascia cadere tre numerous famiglie di malware modulari, progettate principalmente per il furto di informazioni e in grado di scaricare i plugin per estendere la loro funzionalità”, Mandiant disse. “La presenza di payload multipli e simili suggerisce un meccanismo difettoso, consentendo all’attacco di persistere anche se alcuni carichi utili vengono rilevati o bloccati dalle difese di sicurezza.”
Le tre famiglie di malware sono sotto –
- GRIMPULL, un downloader che utilizza un tunnel Tor per recuperare ulteriori payload .NET che sono decrittografati, decompressi e caricati in memoria come .NET ASSEMI
- Frostrift, un backdoor .NET che raccoglie informazioni di sistema, dettagli sulle applicazioni installate e scansioni per 48 estensioni relative a gestori di password, autenticatori e portafogli criptovaluta su browser Internet basati su Chromium
- Xworm, un Trojan remoto di accesso remoto basato su .NET noto con funzionalità come keylogging, esecuzione del comando, acquisizione dello schermo, raccolta di informazioni e notifica delle vittime tramite Telegram
Starkveil funge anche da condotto per lanciare un coilhatch in codice Droupper a base di Python che ha effettivamente incaricato di eseguire i tre payload di cui sopra tramite il caricamento laterale della DLL.
“Questi strumenti di intelligenza artificiale non si prendono di mira più solo graphic designer; chiunque può essere attirato da un annuncio apparentemente innocuo”, ha detto Mandiant. “La tentazione di provare l’ultimo strumento di intelligenza artificiale può portare a chiunque diventi vittima.”
