偽のAIビデオジェネレーターがWindows、macOSからデータを盗んだ

セキュリティ研究者は、詐欺的なウェブサイトを使用して、WindowsおよびmacOSデバイス上でマルウェア、Lumma StealerおよびAMOSを配布する新しいサイバー犯罪キャンペーンを発見しました（BleepingComputer経由）。

これらの悪意のあるプログラムは、Google Chrome、Microsoft Edge、Mozilla Firefoxなどの人気ブラウザから暗号通貨ウォレットやクッキー、認証情報、保存されたパスワード、クレジットカードの詳細、閲覧履歴を盗むことを目的としています。

盗まれたデータはアーカイブにまとめられ、攻撃者に送信されます。攻撃者はこれを利用して追加のサイバー攻撃を行ったり、地下市場で販売したりする可能性があります。

サイバーセキュリティ専門家のg0njxaによると、攻撃者は検索エンジンの結果やX（旧Twitter）での広告を通じて、EditProというAI（人工知能）ビデオおよび画像エディタを偽装した偽のウェブサイトを宣伝しています。

これらの広告の中には、バイデン大統領とトランプがアイスクリームを楽しむディープフェイク政治ビデオなどがあり、注目を集めています。

キャンペーンの仕組み

画像をクリックすると、EditProAIアプリケーション用の2つのウェブサイト、editproai[.]proおよびeditproai[.]orgに移動します。これらはそれぞれWindowsおよびmacOSマルウェアを押し進めるために作成されました。

これらのサイトは信頼性があるように見えるように設計されており、プロフェッショナルなレイアウトと普遍的なクッキーバナーが特徴です。

しかし、「今すぐ入手」リンクをクリックすると、EditProAIアプリケーションを偽装したマルウェアを含むファイルがダウンロードされます。

Windowsファイル: “Edit-ProAI-Setup-newest_release.exe”  [ VirusTotal ]

macOSファイル: “EditProAi_v.4.36.dmg” [ VirusTotal ]

Windowsのマルウェアは、正当なフリーウェア開発者であるSoftwareok.comから盗まれたコード署名証明書を使用してデジタル署名されていると報告されています。ダウンロードされると、マルウェアは「proai[.]club/panelgood/」にあるサーバーに盗まれたデータを送信し、攻撃者は後でそれを取得できるとg0njxaは述べています。

AnyRunというサンドボックスマルウェア分析サービスの報告によると、WindowsバリアントはLumma Stealerであることが確認されました。**

ユーザーへの潜在的な影響

過去にこれらの悪意のあるツールをインストールしたユーザーは、重大なリスクにさらされており、訪問したすべてのサイトでユニークなパスワードにリセットすることをお勧めします。

メールサービス、オンラインバンキング、暗号通貨プラットフォームなどの敏感なアカウントに対しては、多要素認証を有効にすることをお勧めします。

さらに、特に不明なソースからソフトウェアをダウンロードする際には警戒し、これらの進化する脅威の犠牲にならないようにするべきです。