Generadores de Video AI Falsos Robaron Datos de Windows, macOS

Los investigadores de seguridad han descubierto una nueva campaña de cibercrimen que utiliza sitios web fraudulentos para distribuir malware, Lumma Stealer y AMOS, en dispositivos Windows y macOS, respectivamente (a través de BleepingComputer).

Estos programas maliciosos tienen como objetivo robar billeteras de criptomonedas y cookies, credenciales, contraseñas guardadas, detalles de tarjetas de crédito e historiales de navegación de navegadores populares como Google Chrome, Microsoft Edge y Mozilla Firefox.

Los datos robados se compilan en un archivo y se transmiten a los atacantes, quienes pueden explotarlos para ataques cibernéticos adicionales o venderlos en mercados clandestinos.

Según el experto en ciberseguridad g0njxa, los atacantes promueven sitios web falsos que suplantan a un editor de video e imagen AI (inteligencia artificial) llamado EditPro a través de resultados de motores de búsqueda y anuncios en X (anteriormente Twitter).

Algunos de estos anuncios presentan videos políticos deepfake, como el presidente Biden y Trump disfrutando de helados juntos, para atraer la atención.

Cómo Funciona la Campaña

Cuando haces clic en las imágenes, te llevan a dos sitios web—editproai[.]pro y editproai[.]org para la aplicación EditProAI—que fueron creados para impulsar malware de Windows y macOS, respectivamente.

Estos sitios están diseñados para parecer creíbles, con diseños profesionales y banners de cookies omnipresentes.

Sin embargo, hacer clic en los enlaces de “Obtener Ahora” descargará archivos cargados de malware que fingen ser la aplicación EditProAI.

Archivo de Windows: “Edit-ProAI-Setup-newest_release.exe”  [ VirusTotal ]

Archivo de macOS: “EditProAi_v.4.36.dmg” [ VirusTotal ]

Se informa que el malware de Windows está digitalmente firmado utilizando un certificado de firma de código robado de Softwareok.com, un desarrollador de software gratuito legítimo. Una vez descargado, el malware transmite datos robados a un servidor ubicado en “proai[.]club/panelgood/,” donde los atacantes pueden recuperarlos más tarde, dice g0njxa.

Un informe de AnyRun, un servicio de análisis de malware en sandbox, confirmó que la variante de Windows es Lumma Stealer. **

Impacto Potencial en los Usuarios

Aquellos usuarios que han instalado estas herramientas maliciosas en el pasado corren un riesgo significativo de compromiso y se les aconseja restablecerlas con contraseñas únicas en cada sitio visitado de inmediato.

Se recomienda que los usuarios habiliten la autenticación de múltiples factores para cuentas sensibles, como servicios de correo electrónico, banca en línea y plataformas de criptomonedas.

Además, se debe ser vigilante al descargar software, especialmente de fuentes desconocidas, para evitar convertirse en víctima de estas amenazas en evolución.