Malware usa editor de vídeos com IA como isca para roubar dados
Propaganda no X mostra deepfake de Biden e Trump tomando sorvete para chamar a atenção e levar a download de programa falso
Propaganda no X mostra deepfake de Biden e Trump tomando sorvete para chamar a atenção e levar a download de programa falso
Uma ferramenta falsa para gerar imagens e vídeos usando inteligência artificial está sendo usada para distribuir malwares capazes de roubar dados no Windows e no macOS. O ataque usa anúncios no X (antigo Twitter) para chamar a atenção das vítimas.
O ataque foi descoberto pelo pesquisador de cibersegurança conhecido como g0njxa. Ele envolve um aplicativo fake, o EditProAI, e dois malwares diferentes: o Lumma Stealer, que funciona no Windows, e o AMOS, que funciona no macOS. A única diferença entre eles é mesmo a compatibilidade com as plataformas.
Em comum, eles coletam informações de navegadores como Chrome, Firefox, Edge e outros. Entre os dados obtidos, estão cookies, credenciais, senhas, cartões de crédito e histórico de navegação. Os apps maliciosos também roubam carteiras de criptomoedas.
Para distribuir este malware, os responsáveis pelo ataque criam anúncios chamativos no X. As propagandas usam deepfakes de temática política. Em uma das peças, o presidente dos EUA, Joe Biden, aparece tomando sorvete com seu rival político, o presidente-eleito Donald Trump.
Ao clicar na propaganda, o usuário é levado ao site do EditProAI. São dois domínios diferentes: máquinas com Windows vão para o endereço com final “pro”, enquanto quem tem Mac vai para o endereço terminado em “org”.
Como nota o Bleeping Computer, as páginas têm uma aparência bastante profissional, contando até com o banner para aceitar o uso de cookies. Ao clicar no botão “Get Now”, o site entrega um arquivo .exe para os usuários de Windows e um .dmg para os usuários de macOS.
A versão para Windows vem com a assinatura do site softwareok.com — provavelmente, ela foi roubada. Ao rodar o arquivo em um sandbox, é possível detectar o malware Lumma Stealer.
O ataque chama a atenção por combinar duas práticas cada vez mais frequentes. Uma delas é usar o interesse pela inteligência artificial como chamativo. O ChatGPT e o Gemini (quando ainda se chamava Bard) foram usados em campanhas deste tipo.
A outra é explorar as grandes plataformas de anúncios para atingir o maior número de vítimas em potencial. A prática tem até nome: “malvertising”. Recentemente, um ataque criou um site falso do Google Authenticator e colocou propagandas para ele no próprio Google.
Com informações: Bleeping Computer