Generatori di Video AI Falsi Hanno Rubato Dati Da Windows, macOS

I ricercatori di sicurezza hanno scoperto una nuova campagna di cybercrimine che utilizza siti web fraudolenti per distribuire malware, Lumma Stealer e AMOS, su dispositivi Windows e macOS, rispettivamente (via BleepingComputer).

Questi programmi malevoli mirano a rubare portafogli di criptovalute e cookie, credenziali, password salvate, dettagli delle carte di credito e cronologie di navigazione dai browser più popolari come Google Chrome, Microsoft Edge e Mozilla Firefox.

I dati rubati vengono compilati in un archivio e trasmessi agli attaccanti, che possono sfruttarli per ulteriori attacchi informatici o venderli nei mercati sotterranei.

Secondo l’esperto di cybersecurity g0njxa, gli attaccanti promuovono siti web falsi che impersonano un editor di video e immagini AI (intelligenza artificiale) chiamato EditPro attraverso i risultati dei motori di ricerca e pubblicità su X (ex Twitter).

Alcuni di questi annunci presentano video politici deepfake, come il Presidente Biden e Trump che si godono un gelato insieme, per attirare l’attenzione.

Come Funziona La Campagna

Quando clicchi sulle immagini, verrai portato a due siti web—editproai[.]pro e editproai[.]org per l’applicazione EditProAI—che sono stati creati per spingere malware per Windows e macOS, rispettivamente.

Questi siti sono progettati per apparire credibili, presentando layout professionali e banner cookie onnipresenti.

Tuttavia, cliccando sui link “Get Now” verranno scaricati file contenenti malware che fingono di essere l’applicazione EditProAI.

File Windows: “Edit-ProAI-Setup-newest_release.exe”  [ VirusTotal ]

File macOS: “EditProAi_v.4.36.dmg” [ VirusTotal ]

Il malware per Windows è riportato essere firmato digitalmente utilizzando un certificato di firma del codice rubato da Softwareok.com, un legittimo sviluppatore di freeware. Una volta scaricato, il malware trasmette i dati rubati a un server situato su “proai[.]club/panelgood/,” dove gli attaccanti possono recuperarli in seguito, afferma g0njxa.

Un rapporto di AnyRun, un servizio di analisi malware in sandbox, ha confermato che la variante Windows è Lumma Stealer. **

Impatto Potenziale Sugli Utenti

Quegli utenti che hanno installato questi strumenti malevoli in passato sono a rischio significativo di compromissione e sono consigliati di reimpostarli con password uniche per ogni sito visitato immediatamente.

Si raccomanda agli utenti di abilitare l’autenticazione a più fattori per account sensibili, come servizi email, online banking e piattaforme di criptovalute.

Inoltre, si dovrebbe essere vigili quando si scarica software, specialmente da fonti sconosciute, per evitare di cadere vittima di queste minacce in evoluzione.