Malware usa editor de vídeos com IA como isca para roubar dados

Propaganda no X mostra deepfake de Biden e Trump tomando sorvete para chamar a atenção e levar a download de programa falso

Giovanni Santa Rosa

Uma ferramenta falsa para gerar imagens e vídeos usando inteligência artificial está sendo usada para distribuir malwares capazes de roubar dados no Windows e no macOS. O ataque usa anúncios no X (antigo Twitter) para chamar a atenção das vítimas.

O ataque foi descoberto pelo pesquisador de cibersegurança conhecido como g0njxa. Ele envolve um aplicativo fake, o EditProAI, e dois malwares diferentes: o Lumma Stealer, que funciona no Windows, e o AMOS, que funciona no macOS. A única diferença entre eles é mesmo a compatibilidade com as plataformas.

Em comum, eles coletam informações de navegadores como Chrome, Firefox, Edge e outros. Entre os dados obtidos, estão cookies, credenciais, senhas, cartões de crédito e histórico de navegação. Os apps maliciosos também roubam carteiras de criptomoedas.

Malware usa anúncios do X

Para distribuir este malware, os responsáveis pelo ataque criam anúncios chamativos no X. As propagandas usam deepfakes de temática política. Em uma das peças, o presidente dos EUA, Joe Biden, aparece tomando sorvete com seu rival político, o presidente-eleito Donald Trump.

Ao clicar na propaganda, o usuário é levado ao site do EditProAI. São dois domínios diferentes: máquinas com Windows vão para o endereço com final “pro”, enquanto quem tem Mac vai para o endereço terminado em “org”.

Como nota o Bleeping Computer, as páginas têm uma aparência bastante profissional, contando até com o banner para aceitar o uso de cookies. Ao clicar no botão “Get Now”, o site entrega um arquivo .exe para os usuários de Windows e um .dmg para os usuários de macOS.

A versão para Windows vem com a assinatura do site softwareok.com — provavelmente, ela foi roubada. Ao rodar o arquivo em um sandbox, é possível detectar o malware Lumma Stealer.

Propaganda e IA viram iscas

O ataque chama a atenção por combinar duas práticas cada vez mais frequentes. Uma delas é usar o interesse pela inteligência artificial como chamativo. O ChatGPT e o Gemini (quando ainda se chamava Bard) foram usados em campanhas deste tipo.

A outra é explorar as grandes plataformas de anúncios para atingir o maior número de vítimas em potencial. A prática tem até nome: “malvertising”. Recentemente, um ataque criou um site falso do Google Authenticator e colocou propagandas para ele no próprio Google.

Com informações: Bleeping Computer

Relacionados

Escrito por

Giovanni Santa Rosa

Giovanni Santa Rosa

Repórter

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.