Geradores de Vídeo AI Falsos Roubaram Dados do Windows, macOS

Pesquisadores de segurança descobriram uma nova campanha de cibercrime que utiliza sites fraudulentos para distribuir malware, Lumma Stealer e AMOS, em dispositivos Windows e macOS, respectivamente (via BleepingComputer).

Esses programas maliciosos têm como objetivo roubar carteiras de criptomoedas e cookies, credenciais, senhas salvas, detalhes de cartões de crédito e históricos de navegação de navegadores populares como Google Chrome, Microsoft Edge e Mozilla Firefox.

Os dados roubados são compilados em um arquivo e transmitidos para os atacantes, que podem explorá-los para ataques cibernéticos adicionais ou vendê-los em mercados subterrâneos.

De acordo com o especialista em cibersegurança g0njxa, os atacantes promovem sites falsos que se passam por um editor de vídeo e imagem de IA (inteligência artificial) chamado EditPro através de resultados de mecanismos de busca e anúncios no X (anteriormente Twitter).

Alguns desses anúncios apresentam vídeos políticos deepfake, como o Presidente Biden e Trump desfrutando de sorvete juntos, para chamar a atenção.

Como a Campanha Funciona

Quando você clica nas imagens, é levado a dois sites—editproai[.]pro e editproai[.]org para o aplicativo EditProAI—que foram criados para empurrar malware para Windows e macOS, respectivamente.

Esses sites são projetados para parecerem credíveis, apresentando layouts profissionais e banners de cookies onipresentes.

No entanto, clicar nos links “Obter Agora” fará o download de arquivos carregados de malware que estão fingindo ser o aplicativo EditProAI.

Arquivo do Windows: “Edit-ProAI-Setup-newest_release.exe”  [ VirusTotal ]

Arquivo do macOS: “EditProAi_v.4.36.dmg” [ VirusTotal ]

O malware para Windows é supostamente assinado digitalmente usando um certificado de assinatura de código roubado da Softwareok.com, um desenvolvedor de freeware legítimo. Uma vez baixado, o malware transmite dados roubados para um servidor localizado em “proai[.]club/panelgood/,” onde os atacantes podem recuperá-los mais tarde, diz g0njxa.

Um relatório da AnyRun, um serviço de análise de malware em sandbox, confirmou que a variante do Windows é o Lumma Stealer. **

Impacto Potencial Sobre os Usuários

Os usuários que instalaram essas ferramentas maliciosas no passado estão em risco significativo de comprometimento e são aconselhados a redefini-las com senhas únicas em cada site visitado imediatamente.

Recomenda-se que os usuários habilitem a autenticação de múltiplos fatores para contas sensíveis, como serviços de e-mail, bancos online e plataformas de criptomoedas.

Além disso, deve-se estar vigilante ao baixar software, especialmente de fontes desconhecidas, para evitar se tornar vítima dessas ameaças em evolução.