Valse installateurs voor populaire kunstmatige intelligentie (AI) -hulpmiddelen zoals OpenAI Chatgpt en Invideo AI worden gebruikt als kunstaas om verschillende bedreigingen te propageren, zoals de Cyberlock en Lucky_GH0 $ t ransomware -families, en een nieuwe malware genaamd Numero.
“Cyberlock -ransomware, ontwikkeld met behulp van PowerShell, richt zich voornamelijk op het coderen van specifieke bestanden op het systeem van het slachtoffer,” zei Cisco Talos -onderzoeker Chetan Raghuprasad in een rapport dat vandaag is gepubliceerd. “Lucky_GH0 $ t ransomware is nog een andere variant van de Yashma Ransomware, de zesde iteratie van de chaos ransomware -serie, met slechts kleine wijzigingen aan het ransomware binary.”
Numero daarentegen is een destructieve malware die slachtoffers beïnvloedt door de grafische gebruikersinterface (GUI) componenten van hun Windows -besturingssysteem te manipuleren, waardoor de machines onbruikbaar worden.
Het cybersecuritybedrijf zei dat de legitieme versies van de AI-tools populair zijn in het verkoopdomein van Business-to-Business (B2B) en de marketingsector, wat suggereert dat individuen en organisaties in deze industrieën de primaire focus zijn van de dreigingsactoren achter de campagne.
Een dergelijke nep -AI -oplossingwebsite is “Novaleadsai (.) Com”, die waarschijnlijk een lead -monetisatieplatform met de naam Novaleads imiteert. Er wordt vermoed dat de website wordt gepromoot via vergiftigingstechnieken voor zoekmachineoptimalisatie (SEO) om zijn ranglijsten in online zoekmachines kunstmatig te stimuleren.
Gebruikers worden vervolgens aangespoord om het product te downloaden door te beweren gratis toegang te bieden tot de tool voor het eerste jaar, met een maandelijks abonnement van $ 95 daarna. Wat daadwerkelijk wordt gedownload, is een zip -archief met een .NET -uitvoerbaar bestand (“novaleadsai.exe”) dat werd samengesteld op 2 februari 2025, dezelfde dag dat het nep -domein is gemaakt. Het binaire getal van zijn kant fungeert als lader om de op PowerShell gebaseerde Cyberlock-ransomware te implementeren.
De ransomware is uitgerust om voorrechten te escaleren en zich opnieuw uit te voeren met administratieve machtigingen, zo niet al, en codeert bestanden in de partities “C: “, “” D: , “en” E: “die overeenkomen met een bepaalde set extensies. Vervolgens liet het een losgeldbriefje vallen en eist dat een betaling van $ 50.000 binnen drie dagen in Monero in Monero wordt gedaan in twee portefeuilles.
In een interessante wending claimt de dreigingsacteur in het losgeld dat de betalingen zullen worden toegewezen om vrouwen en kinderen in Palestina, Oekraïne, Afrika, Azië en andere regio’s te ondersteunen waar “onrechtvaardigheden een dagelijkse realiteit zijn”.
“We vragen u om te overwegen dat dit bedrag klein is in vergelijking met het onschuldige leven dat verloren gaat, vooral kinderen die de ultieme prijs betalen,” stelt de nota. “Helaas hebben we geconcludeerd dat velen niet bereid zijn om vrijwillig te handelen om te helpen, wat dit de enige mogelijke oplossing maakt.”
De laatste stap omvat de dreigingsacteur die de Living-off-the-Land binary (Lolbin) “Cipher.exe” gebruikt met de optie “/w” om de beschikbare ongebruikte schijfruimte op het hele volume te verwijderen om het forensische herstel van verwijderde bestanden te belemmeren.
Talos zei dat het ook een bedreigingsacteur heeft waargenomen die de lucky_gh0 $ t ransomware distribueerde onder het mom van een nep -installatieprogramma voor een premium versie van Chatgpt.
“Het kwaadaardige SFX -installatieprogramma bevatte een map die het lucky_gh0 $ t ransomware uitvoerbaar met de bestandsnaam ‘dwn.exe’ bevatte, die het legitieme Microsoft -uitvoerbare ‘DWM.exe’ imiteert,” zei Raghuprasad. “De map bevatte ook legitieme Microsoft Open-Source AI-tools die beschikbaar zijn op hun GitHub-repository voor ontwikkelaars en datawetenschappers die met AI werken, met name binnen het Azure-ecosysteem.”
Mocht het slachtoffer het kwaadaardige SFX -installatiebestand uitvoeren, voert het SFX -script de ransomware -payload uit. Een Yashma -ransomware -variant, Lucky_GH0 $ t richt bestanden die ongeveer minder dan 1,2 GB groot zijn voor codering, maar niet voordat het volume schaduwkopieën en back -ups wordt verwijderd.
De RANSom -noot die aan het einde van de aanval is gedaald, omvat een unieke persoonlijke decodering -ID en instrueert slachtoffers om hen via de sessieberichten -app te bereiken voor een losgeldbetaling en om een decryptor te verkrijgen.
Last but not least, bedreigingsacteurs verzilveren ook het groeiende gebruik van AI-tools om het online landschap te zaaien met een namaakinstallatieprogramma voor Invideo AI, een AI-aangedreven platform voor het maken van video’s, om een destructieve malware-codeaam-numero te implementeren.
Het frauduleuze installatieprogramma dient als een druppelaar met drie componenten: een Windows -batchbestand, een visual basisscript en het numero uitvoerbare bestand. Wanneer het installatieprogramma wordt gestart, wordt het batchbestand door de Windows -shell uitgevoerd in een oneindige lus, die op zijn beurt Numero uitvoert en het vervolgens 60 seconden tijdelijk stopt door het VB -script via CSCRIPT uit te voeren.
“Na het hervatten van de uitvoering beëindigt het batchbestand het numero -malwareproces en start de uitvoering opnieuw,” zei Talos. “Door de oneindige lus in het batchbestand te implementeren, wordt de numero -malware continu uitgevoerd op de slachtoffermachine.”
Een 32-bit Windows uitvoerbaar geschreven in C ++, numero controleert op de aanwezigheid van malware-analysetools en debuggers tussen lopende processen en overschrijft de titel, knoppen en inhoud van het bureaubladvenster met de numerieke tekenreeks “1234567890.” Het werd samengesteld op 24 januari 2025.
De openbaarmaking komt als Google-eigendom Mandiant onthulde details van een Malvertising-campagne die kwaadaardige advertenties op Facebook gebruikt en LinkedIn om gebruikers om te leiden om websites te vervalsen die zich voordoen als legitieme AI Video Generator-tools zoals Luma AI, Canva Dream Lab en Kling AI, onder andere.
De activiteit, die onlangs ook werd blootgesteld door Morphisec en Check Point eerder deze maand, is toegeschreven aan een bedreigingscluster, de technische gigantische tracks als UNC6032, waarvan wordt beoordeeld dat hij een Vietnam -nexus heeft. De campagne is al sindsdiens medio 2024 actief.
De aanval ontvouwt zich op deze manier: nietsvermoedende gebruikers die op deze websites landen, worden geïnstrueerd om een inputprompt te geven om een video te genereren. Zoals eerder waargenomen, doet de input echter niet uit, omdat de belangrijkste verantwoordelijkheid van de website is om de download van een op roest gebaseerde druppel-lading genaamd StarkVeil te initiëren.
“(Starkveil) laat drie verschillende modulaire malwarefamilies vallen, voornamelijk ontworpen voor informatiediefstal en in staat om plug -ins te downloaden om hun functionaliteit uit te breiden,” zei Mandiant. “De aanwezigheid van meerdere, vergelijkbare ladingen suggereert een fail-safe mechanisme, waardoor de aanval kan blijven bestaan, zelfs als sommige ladingen worden gedetecteerd of geblokkeerd door beveiligingsverdedigingen.”
De drie malwarefamilies zijn hieronder –
- Grimpull, een downloader die een TOR -tunnel gebruikt om extra .NET -payloads op te halen die worden gedecodeerd, gedecomprimeerd en in het geheugen geladen als .NET -assemblages
- FROSTRIFT, A .NET Backdoor die systeeminformatie verzamelt, details over geïnstalleerde applicaties en scans voor 48 extensies met betrekking tot wachtwoordbeheerders, authenticators en cryptocurrency-portefeuilles op chroomgebaseerde webbrowsers
- Xworm, een bekende .NET-gebaseerde externe toegang Trojan (rat) met functies zoals keylogging, opdrachtuitvoering, schermopname, informatie-verzameling en melding van het slachtoffer via telegram
Starkveil dient ook als een leiding om een op Python gebaseerde druppper gecodeerde Coilhatch te lanceren die eigenlijk de taak heeft om de bovengenoemde drie payloads uit te voeren via DLL-side-loading.
“Deze AI -tools zijn niet langer gericht op alleen grafische ontwerpers; iedereen kan worden gelokt door een schijnbaar onschadelijke advertentie,” zei Mandiant. “De verleiding om de nieuwste AI -tool te proberen kan ertoe leiden dat iedereen het slachtoffer wordt.”
