Фальшивые генераторы видео ИИ украли данные с Windows и macOS

Исследователи в области безопасности обнаружили новую киберпреступную кампанию, использующую мошеннические веб-сайты для распространения вредоносного ПО, Lumma Stealer и AMOS, на устройствах Windows и macOS соответственно (по данным BleepingComputer).

Эти вредоносные программы нацелены на кражу криптовалютных кошельков и куки, учетных данных, сохраненных паролей, данных кредитных карт и истории просмотров из популярных браузеров, таких как Google Chrome, Microsoft Edge и Mozilla Firefox.

Украденные данные собираются в архив и передаются злоумышленникам, которые могут использовать их для дополнительных кибератак или продавать на подпольных рынках.

Согласно словам эксперта по кибербезопасности g0njxa, злоумышленники продвигают фальшивые веб-сайты, выдающие себя за редактор видео и изображений на основе ИИ под названием EditPro, через результаты поисковых систем и рекламу в X (ранее Twitter).

Некоторые из этих объявлений содержат дипфейк политических видео, таких как Президент Байден и Трамп, наслаждающиеся мороженым вместе, чтобы привлечь внимание.

Как работает кампания

Когда вы нажимаете на изображения, вы попадаете на два веб-сайта — editproai[.]pro и editproai[.]org для приложения EditProAI, которые были созданы для распространения вредоносного ПО для Windows и macOS соответственно.

Эти сайты созданы так, чтобы выглядеть достоверно, с профессиональными макетами и повсеместными баннерами о куки.

Однако нажатие на ссылки «Получить сейчас» загрузит файлы с вредоносным ПО, которые выдают себя за приложение EditProAI.

Файл для Windows: “Edit-ProAI-Setup-newest_release.exe”  [ VirusTotal ]

Файл для macOS: “EditProAi_v.4.36.dmg” [ VirusTotal ]

Вредоносное ПО для Windows, как сообщается, цифровым образом подписано с использованием украденного сертификата подписи кода от Softwareok.com, легитимного разработчика бесплатного ПО. После загрузки вредоносное ПО передает украденные данные на сервер, расположенный по адресу “proai[.]club/panelgood/,” откуда злоумышленники могут позже их извлечь, говорит g0njxa.

Отчет от AnyRun, сервиса анализа вредоносного ПО в песочнице, подтвердил, что вариант для Windows — это Lumma Stealer. **

Потенциальное воздействие на пользователей

Пользователи, которые установили эти вредоносные инструменты в прошлом, находятся под значительным риском компрометации и им рекомендуется немедленно сбросить пароли на уникальные для каждого посещаемого сайта.

Рекомендуется включить многофакторную аутентификацию для чувствительных учетных записей, таких как электронные почтовые службы, онлайн-банкинг и платформы криптовалют.

Кроме того, следует быть внимательным при загрузке программного обеспечения, особенно из незнакомых источников, чтобы избежать попадания в ловушку этих развивающихся угроз.