V šokujúcom odhalení zneužili online podvodníci humbuk okolo generatívnej umelej inteligencie do škodlivej kampane, ktorá prebieha už rok. Podľa správy od firmy Google Mandiant, zaoberajúcej sa hrozbovou inteligenciou, šíria títo podvodníci infostealery a backdoory pod zámienkou AI nástrojov.
Zvodná stratégia
V prefíkanom obrate skupina hrozieb nazývaná UNC6032, ktorú podľa správ možno spojiť s Vietnamom, využívala tisíce klamlivých reklám na platformách ako Facebook a LinkedIn. Vydávajúc sa za legitímne entity ako Luma AI, Canva Dream Lab a Kling AI, tieto reklamy smerujú nič netušiacich používateľov na takmer identické falošné webové stránky. Namiesto sľúbeného obsahu generovaného AI tu však používatelia dostávajú súbor naplnený malwarom, ktorý mal pôvodne slúžiť na generovanie videa pomocou AI.
Široký dopad
Podrobná analýza od Mandiant odhalila, že tieto reklamy zasiahli približne 2,3 milióna jednotlivcov len v rámci Európskej únie. Tieto alarmujúce údaje odrážajú predchádzajúce zistenia bezpečnostnej firmy Morphisec, ktorá zaznamenala podobné pozorovania.
Vyhýbavé techniky
Čo odlišuje UNC6032, je ich šikovnosť v zobrazovaní sa. Novo registrované domény sú rýchlo využité v reklamách, niekedy len hodinu po ich spustení. Tieto domény sú podporované kompromitovanými účtami na Facebooku, prostredníctvom ktorých sú neustále publikované klamlivé reklamy. Ako bolo uvedené, niektoré reklamy na LinkedIn mohli potenciálne osloviť až 250,000 jednotlivcov prostredníctvom rogue webu klingxai.com.
Malware zamaskovaný ako AI
Falošné stránky blízko napodobňujú rozhrania a logá skutočných AI služieb. Jedna podvodná stránka známa ako ‘Luma Dream AI Machine’ prezentovala bežné možnosti na tvorbu videa. Po interakcii s používateľom stránka predstierala procesný postup predtým, ako zobrazila ‘stiahnuť’ tlačidlo, ktoré skrylo škodlivý zip archív. Malware, Starkveil, obsiahnutý v tomto archíve, zahŕňa modulárne rodiny ako Grimpull, XWorm a Frostrift, ktoré sú schopné krádeže dát a ohrozenia systému.
Inovácie v dodávaní malwaru
Starkveil, vytvorený v jazyku Rust, používa šikovné techniky ako trik s dvojitým rozšířením pomocou neviditeľných Unicode znakov Braillového písma na skrytie škodlivých spustiteľných súborov pod typmi bežných súborov. Po spustení Starkveil uvoľňuje vložené archívy do dôveryhodných Windows procesov, využitím maskovania na to, aby zostal neodhaliteľný.
Neustála hrozba
Pravidelné aktualizácie infraštruktúry škodlivej skupiny im umožňujú hostiť neustále sa vyvíjajúce náklady. Ich odolné taktiky zahŕňajú dynamické maskovanie nákladov, čo veľmi sťažuje statickú detekciu. Malware neustále nabýva na platnosti embedovaním AutoRun kľúčov do registra a načítavaním škodlivých DDL prostredníctvom legitímnych spustiteľných ciest.
Legislatívne a kybernetické reakcie
Správa zdôrazňuje opatrenia Meta na rozdumovanie týchto škodlivých reklám a elimináciu domén spojených s ich šírením. Okrem toho LinkedIn uviedol nástroje pre transparentnosť, poskytujúce prehľad o dosahu reklám a vzoroch zamerania, pomáhajúcim vyšetrovateľom vyhodnotiť rozsah expozície.
Podľa GovInfoSecurity táto škodlivá kampaň slúži ako mrazivá pripomienka pokračujúceho boja proti kybernetickému zločinu, vyzývajúc ostražitosť a rýchlu adaptáciu od kybernetických bezpečnostných zložiek po celom svete.