Поддельные видеогенераторы искусственного интеллекта украли данные из Windows и macOS

Исследователи безопасности обнаружили новую кампанию киберпреступности, в которой мошеннические веб-сайты используются для распространения вредоносных программ Lumma Stealer и AMOS на устройствах Windows и macOS соответственно (через ПипКомпьютер).

Эти вредоносные программы направлены на кражу криптовалютных кошельков и файлов cookie, учетных данных, сохраненных паролей, данных кредитных карт и истории просмотров из популярных браузеров, таких как Google Chrome, Microsoft Edge и Mozilla Firefox.

Украденные данные собираются в архив и передаются злоумышленникам, которые могут использовать их для дополнительных кибератак или продать на подпольных торговых площадках.

По словам эксперта по кибербезопасности g0njxa, злоумышленники продвигают поддельные веб-сайты, выдающие себя за редактор видео и изображений AI (искусственный интеллект) под названием EditPro, через результаты поисковых систем и рекламу в X (ранее Twitter).

В некоторых из этих рекламных роликов для привлечения внимания используются фальшивые политические видеоролики, например, президент Байден и Трамп вместе наслаждаются мороженым.

Как работает кампания

При нажатии на изображения вы попадаете на два веб-сайта — editproai(.)pro и editproai(.)org для приложения EditProAI, — которые были созданы для распространения вредоносного ПО для Windows и macOS соответственно.

Эти сайты созданы так, чтобы вызывать доверие, имеют профессиональные макеты и вездесущие баннеры с файлами cookie.

Однако нажатие на ссылку «Получить сейчас» приведет к загрузке зараженных вредоносным ПО файлов, которые выдают себя за приложение EditProAI.

файл Windows: «Edit-ProAI-Setup-newest_release.exe» (Всего вирусов)

файл macOS: «EditProAi_v.4.36.dmg» (Всего вирусов)

Сообщается, что вредоносное ПО для Windows имеет цифровую подпись с использованием украденного сертификата подписи кода у Softwareok.com, законного разработчика бесплатного ПО. После загрузки вредоносное ПО передает украденные данные на сервер, расположенный по адресу «proai(.)club/panelgood/», где злоумышленники могут получить их позже, говорит g0njxa.

А отчет от AnyRunслужба анализа вредоносных программ в песочнице, подтвердила, что вариантом для Windows является Lumma Stealer.

Потенциальное влияние на пользователей

Те пользователи, которые устанавливали эти вредоносные инструменты в прошлом, подвергаются значительному риску компрометации, и им рекомендуется немедленно сбрасывать свои уникальные пароли на каждом посещаемом сайте.

Пользователям рекомендуется включить многофакторную аутентификацию для конфиденциальных учетных записей, таких как службы электронной почты, онлайн-банкинг и криптовалютные платформы.

Кроме того, следует проявлять бдительность при загрузке программного обеспечения, особенно из незнакомых источников, чтобы не стать жертвой этих развивающихся угроз.