Gefälschte KI-Video-Generatoren stahlen Daten von Windows, macOS

Sicherheitsforscher haben eine neue Cybercrime-Kampagne entdeckt, die betrügerische Websites nutzt, um Malware, Lumma Stealer und AMOS, auf Windows- und macOS-Geräten zu verbreiten (über BleepingComputer).

Diese bösartigen Programme zielen darauf ab, Kryptowährungs-Wallets sowie Cookies, Anmeldeinformationen, gespeicherte Passwörter, Kreditkartendaten und Browserverläufe von beliebten Browsern wie Google Chrome, Microsoft Edge und Mozilla Firefox zu stehlen.

Die gestohlenen Daten werden in einem Archiv zusammengefasst und an die Angreifer übertragen, die sie möglicherweise für zusätzliche Cyberangriffe ausnutzen oder auf unterirdischen Marktplätzen verkaufen.

Laut dem Cybersicherheitsexperten g0njxa fördern die Angreifer gefälschte Websites, die sich als KI (künstliche Intelligenz) Video- und Bildbearbeitungsprogramm namens EditPro ausgeben, über Suchmaschinenergebnisse und Werbung auf X (ehemals Twitter).

Einige dieser Anzeigen zeigen Deepfake-Politikvideos, wie Präsident Biden und Trump, die zusammen Eis essen, um Aufmerksamkeit zu erregen.

Wie die Kampagne funktioniert

Wenn Sie auf die Bilder klicken, gelangen Sie zu zwei Websites—editproai[.]pro und editproai[.]org für die EditProAI-Anwendung—die erstellt wurden, um Malware für Windows und macOS zu verbreiten.

Diese Seiten sind so gestaltet, dass sie glaubwürdig erscheinen, mit professionellen Layouts und allgegenwärtigen Cookie-Bannern.

Das Klicken auf die Links „Jetzt holen“ lädt jedoch mit Malware beladene Dateien herunter, die sich als die EditProAI-Anwendung ausgeben.

Windows-Datei: „Edit-ProAI-Setup-newest_release.exe“  [ VirusTotal ]

macOS-Datei: „EditProAi_v.4.36.dmg“ [ VirusTotal ]

Die Windows-Malware ist Berichten zufolge digital signiert mit einem gestohlenen Code-Signing-Zertifikat von Softwareok.com, einem legitimen Freeware-Entwickler. Nach dem Herunterladen überträgt die Malware gestohlene Daten an einen Server unter „proai[.]club/panelgood/“, von dem aus die Angreifer sie später abrufen können, sagt g0njxa.

Ein Bericht von AnyRun, einem Sandbox-Malware-Analyse-Service, bestätigte, dass die Windows-Variante Lumma Stealer ist. **

Potenzielle Auswirkungen auf Benutzer

Benutzer, die diese bösartigen Tools in der Vergangenheit installiert haben, sind einem erheblichen Risiko ausgesetzt und wird geraten, diese sofort mit einzigartigen Passwörtern für jede besuchte Seite zurückzusetzen.

Es wird empfohlen, dass Benutzer die Multi-Faktor-Authentifizierung für sensible Konten, wie E-Mail-Dienste, Online-Banking und Kryptowährungsplattformen aktivieren.

Darüber hinaus sollte man beim Herunterladen von Software, insbesondere aus unbekannten Quellen, vorsichtig sein, um nicht Opfer dieser sich entwickelnden Bedrohungen zu werden.