Pametna kampanja distribucije malicioznog softvera koja isporučuje novi Noodlophile malver cilja kreatore i mala preduzeća koja žele poboljšati svoju produktivnost pomoću AI alata.
Ali, u neobičnom zaokretu, hakeri ne prikrivaju maliciozni softver kao legitimni softver, već kao sadržaj / izlaz koji je kreirao alat s izgledom legitimnog AI-a.
AI kao mamac za socijalni inžinjering
“Kako AI postaje sve prisutniji u svakodnevnoj upotrebi, milioni korisnika se svakodnevno okreću AI alatima za kreiranje sadržaja,” napomenuo je istraživač sigurnosti iz Morphisecepa, Shmuel Uzan.
Prilikom pretraživanja takvih alata na internetu, neki korisnici će posjetiti popularne Facebook grupe i biti privučeni viralnim objavama na društvenim mrežama da isprobaju neki od tih softvera.
Reklama za lažni AI alat (Izvor: Morphisec)
Neki korisnici možda neće željeti preuzimati novi softver, ali nemaju ništa protiv da prenesu datoteku na web-baziranu uslugu i dobiju AI-generisani sadržaj.
Završna faza (Izvor: Morphisec)
„Kada dođu na lažnu stranicu, korisnicima se predlaže da prenesu svoje slike ili video zapise, pod utiskom da koriste pravi AI za generisanje ili uređivanje sadržaja. U posljednjoj fazi, korisnicima se daje instrukcija da preuzmu svoj ‘obrađeni’ sadržaj. U stvarnosti, nesvjesno preuzimaju malicioznu datoteku,“ objasnio je Uzan.
Noodlophile malver
Žrtve preuzimaju ono što izgleda kao medijska datoteka, ali je zapravo ZIP (arhivska) datoteka.
Unutar arhive: datoteka s očekivanim nazivom (npr. “Video Dream MachineAI.mp4”) koju slijedi alarmantni nastavak (.exe) koji je teško primijetiti jer napadači dodaju mnogo praznih prostora prije njega.
Pokretanjem izvršne datoteke započinje višestepena instalacija malvera, koja na kraju učitava Noodlophile alat za krađu informacija i XWorm trojanac za daljinski pristup – sve potpuno u memoriji.
XWorm je poznata prijetnja, ali je Noodlophile nov dodatak u ekosistemu malicioznog softvera.
„Prethodno nedokumentovan u javnim bazama podataka o malverima ili izvještajima, ovaj alat za krađu kombinuje krađu kredencijale iz pretraživača, krađu novčanika i opcionalnu daljinsku kontrolu,“ naveo je Uzan.
Malver komunicira s napadačima i iznosi informacije putem Telegram bota. Prodaje se online kao dio modela malver-kao-usluga (MaaS) i vjerovatno ga distribuišu različiti hakeri.
U ovoj konkretnoj kampanji, ime malicioznog AI alata / servisa je Luma DreamMachine, ali novi lažni alati se mogu pojaviti bilo kada i slične kampanje možda su već u toku.
Izvor:Help Net Security