Фейкові генератори зображень та відео на основі штучного інтелекту заражають Windows і macOS шкідливими програмами Lumma Stealer та AMOS. Ці інфостілери використовуються для крадіжки облікових даних і криптовалютних гаманців із заражених пристроїв, повідомляє Bleeping Computer.
Lumma Stealer орієнтований на Windows, тоді як AMOS атакує macOS. Обидва типи шкідливого ПЗ викрадають криптовалютні гаманці, файли cookie, облікові дані, паролі, інформацію про кредитні картки й історію перегляду браузерів, зокрема Google Chrome, Microsoft Edge, Mozilla Firefox та інших на основі Chromium.
Зібрані дані упорядковуються в архів і надсилаються зловмисникам, які можуть використовувати їх для подальших атак або продажу на кіберзлочинних ринках.
Фейкові ШІ-генератори зображень поширюють Lumma Stealer
Протягом останнього місяця кіберзлочинці створили підроблені вебсайти, що видають себе за AI-редактор відео та зображень під назвою EditPro.
За даними дослідника кібербезпеки g0njxa, ці сайти рекламуються через результати пошуку та оголошення на платформі X, де розміщують політичні відео дипфейків. Наприклад, із зображенням Джо Байдена та Дональда Трампа, які їдять морозиво.
Як це працює?
Натискання на зображення переводить користувачів на фейкові сайти програми EditProAI:
- editproai[.]pro поширює шкідливе ПЗ для Windows;
- editproai[.]org розповсюджує шкідливе ПЗ для macOS.
Сайти виглядають професійно та навіть містять стандартні банери про файли cookie, що додає їм правдоподібності.
Завантаження шкідливих файлів
Натискання кнопки Get Now на цих сайтах призводить до завантаження виконуваного файлу, що маскується під програму EditProAI:
- Для Windows: Edit-ProAI-Setup-newest_release.exe;
- Для macOS: EditProAi_v.4.36.dmg.
Зловмисники навіть підписують файли сертифікатами, які, ймовірно, були вкрадені у розробника безкоштовних утиліт Softwareok.com.
Як працює атака?
За даними g0njxa, викрадені дані надсилаються на сервер proai[.]club/panelgood/, звідки зловмисники можуть отримати їх пізніше. Аналіз роботи Windows-варіанту програми через сервіс AnyRun підтвердив, що це шкідливе ПЗ Lumma Stealer.
Що робити, якщо ви стали жертвою?
Якщо ви раніше завантажували цю програму, то ввважайте всі свої збережені паролі, криптовалютні гаманці й облікові дані скомпрометованими.
Тому негайно:
- Скиньте паролі для всіх акаунтів, використовуючи унікальні комбінації.
- Увімкніть двофакторну автентифікацію для важливих сервісів: криптовалютних бірж, онлайн-банкінгу, електронної пошти та фінансових платформ.
Зростання загроз із використанням інфостілерів
Останніми роками кількість атак з використанням інформаційно-крадіжного ПЗ значно зросла. Зловмисники проводять глобальні кампанії для викрадення облікових даних і токенів автентифікації.
Інші методи атак:
- Використання 0-day вразливостей.
- Фейкові виправлення помилок на GitHub.
- Фальшиві відповіді на StackOverflow.
Викрадені дані потім застосовуються для проникнення у корпоративні мережі, викрадення даних (як у випадку з масовим зламом облікових записів SnowFlake) або для дестабілізації інформаційних систем. Наприклад, через маніпуляції з маршрутами мережевого трафіку.
Читайте також на ProIT: Нова функція Google Pixel AI аналізує телефонні розмови на предмет шахрайства.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
