Des générateurs de vidéos IA frauduleux ont volé des données de Windows, macOS

Des chercheurs en sécurité ont découvert une nouvelle campagne de cybercriminalité qui utilise des sites Web frauduleux pour distribuer des logiciels malveillants, Lumma Stealer et AMOS, sur des appareils Windows et macOS, respectivement (via BleepingComputer).

Ces programmes malveillants visent à voler des portefeuilles de cryptomonnaie et des cookies, des identifiants, des mots de passe enregistrés, des détails de cartes de crédit et des historiques de navigation à partir de navigateurs populaires comme Google Chrome, Microsoft Edge et Mozilla Firefox.

Les données volées sont compilées dans une archive et transmises aux attaquants, qui peuvent les exploiter pour des cyberattaques supplémentaires ou les vendre sur des marchés souterrains.

Selon l’expert en cybersécurité g0njxa, les attaquants promeuvent de faux sites Web se faisant passer pour un éditeur de vidéos et d’images IA (intelligence artificielle) appelé EditPro via les résultats des moteurs de recherche et des publicités sur X (anciennement Twitter).

Certaines de ces publicités présentent des vidéos politiques deepfake, telles que le président Biden et Trump dégustant une glace ensemble, pour attirer l’attention.

Comment fonctionne la campagne

Lorsque vous cliquez sur les images, vous êtes redirigé vers deux sites Web—editproai[.]pro et editproai[.]org pour l’application EditProAI—qui ont été créés pour propager des logiciels malveillants Windows et macOS, respectivement.

Ces sites sont conçus pour sembler crédibles, avec des mises en page professionnelles et des bannières de cookies omniprésentes.

Cependant, cliquer sur les liens « Obtenir maintenant » téléchargera des fichiers chargés de logiciels malveillants se faisant passer pour l’application EditProAI.

Fichier Windows : “Edit-ProAI-Setup-newest_release.exe”  [ VirusTotal ]

Fichier macOS : “EditProAi_v.4.36.dmg” [ VirusTotal ]

Le logiciel malveillant Windows est apparemment signé numériquement à l’aide d’un certificat de signature de code volé de Softwareok.com, un développeur de logiciels gratuits légitimes. Une fois téléchargé, le logiciel malveillant transmet les données volées à un serveur situé à “proai[.]club/panelgood/,” où les attaquants peuvent les récupérer plus tard, dit g0njxa.

Un rapport d’AnyRun, un service d’analyse de logiciels malveillants en bac à sable, a confirmé que la variante Windows est Lumma Stealer. **

Impact potentiel sur les utilisateurs

Les utilisateurs qui ont installé ces outils malveillants dans le passé courent un risque important de compromission et sont conseillés de les réinitialiser avec des mots de passe uniques sur chaque site visité immédiatement.

Il est recommandé que les utilisateurs activent l’authentification multi-facteurs pour les comptes sensibles, tels que les services de messagerie, la banque en ligne et les plateformes de cryptomonnaie.

De plus, il convient d’être vigilant lors du téléchargement de logiciels, en particulier à partir de sources inconnues, pour éviter de devenir victime de ces menaces évolutives.