Online svindlere har på sjokkerende vis manipulert blesten rundt generativ kunstig intelligens til en ondsinnet kampanje som har vart i et år. Ifølge en rapport fra trusseletterretningsfirmaet Google Mandiant, har disse bedragerne distribuert infostealere og bakdører forkledd som AI-verktøy.
Den Bedragerske Strategien
I et smart trekk har gruppen, kalt UNC6032, som angivelig er koblet til Vietnam, brukt tusenvis av villedende annonser som er fremhevet på plattformer som Facebook og LinkedIn. De har utgitt seg for å være legitime enheter som Luma AI, Canva Dream Lab og Kling AI, og disse annonsene fører intetanende brukere til nesten identiske falske nettsteder. Her, i stedet for det lovede AI-genererte innholdet, mottar brukerne en malware-infisert fil som var ment å være en AI-video.
En Omfattende Innvirkning
Mandiants grundige undersøkelser fant ut at disse annonsene har nådd omtrent 2,3 millioner individer i EU alene. Denne alarmerende informasjonen gjenspeiler tidligere funn fra sikkerhetsfirmaet Morphisec, som rapporterte lignende observasjoner.
De Unnvikende Teknikker
Det som skiller UNC6032 er deres smidighet med å unngå oppdagelse. Nyregistrerte domener blir raskt brukt i annonser, noen ganger innen få timer etter at de er gått live. Disse domenene støttes av kompromitterte Facebook-kontoer, gjennom hvilke villedende annonser kontinuerlig publiseres. Det rapporteres at noen LinkedIn-annonser potensielt nådde opptil 250,000 individer via det svikefulle nettstedet klingxai.com
.
Malware Forkledd som AI
De falske nettstedene imiterer ekte AI-tjenestegrensesnitt og logoer tett. Et falskt nettsted som ble fremstilt som ‘Luma Dream AI Machine’ presenterte vanlige videoopprettelsesalternativer. Ved brukerinteraksjon simulerte nettstedet en behandlingssekvens før det viste en “nedlasting”-knapp som skjulte et skadelig zip-arkiv. Malwaren, Starkveil, inkludert i dette arkivet, består av modulære familier som Grimpull, XWorm og Frostrift, som er i stand til datatyveri og systemkompromittering.
Innovasjon i Malware-Levering
Utviklet i Rust, bruker Starkveil smarte teknikker som dobbel-forlengelsestrikset ved å bruke usynlige punktskrift-Unicode-tegn for å skjule skadelige kjørbare filer under ufarlige filtyper. Etter utførelse slipper Starkveil innebygde arkiver inn i betrodde Windows-prosesser, ved å bruke obfuskasjon for å forbli uoppdaget.
En Kontinuerlig Trussel
Regelmessige oppdateringer av den ondsinnede gruppens infrastruktur gjør dem i stand til å være vert for stadig utviklende laster. Deres motstandsdyktige taktikker inkluderer dynamisk obfuskering av lastene, noe som gjør statisk gjenkjenning stadig mer utfordrende. Malwaren fortsetter å få varighet ved å legge inn AutoRun-registernøkler og side-laste skadelige DLL-er gjennom legitime kjørbare ruter.
Lovgivende og Cybersikkerhetsresponser
Rapporten fremhever Metas handlinger for å demontere disse skadelige annonsene og eliminere domenene assosiert med deres spredning. Videre har LinkedIn introdusert åpenhetsverktøy som gir innsikt i annonse rekkevidde og målrettingsmønstre, noe som hjelper etterforskere med å vurdere eksponeringens bredde.
Ifølge GovInfoSecurity, fungerer denne ondsinnede kampanjen som en skremmende påminnelse om den pågående kampen mot cyberkriminalitet, og oppfordrer til årvåkenhet og rask tilpasning fra cybersikkerhetsenheter verden rundt.