Los instaladores falsos de herramientas populares de inteligencia artificial (AI) como OpenAi Chatgpt e Invideo AI se utilizan como señuelos para propagar una variedad de amenazas, como Cyberlock y Lucky_Gh0 $ T Ransomware Family.
«El ransomware Cyberlock desarrollado utilizando PowerShell se centra principalmente en el cifrado de archivos específicos en los sistemas de la víctima», dijo el investigador de Cisco Talos, Chetan Raghuprasad, en un informe publicado hoy. «Lucky_Gh0 $ T ransomware es otra variante de ransomware Yashma, la sexta iteración de la serie de ransomware del caos, con solo cambios menores en el binario de ransomware».
Numero, por otro lado, es un malware destructivo que afecta a las víctimas manipulando los componentes gráficos de la interfaz de usuario (GUI) del sistema operativo Windows, que evita que la máquina se use.
Las compañías de ciberseguridad dicen que las versiones legítimas de las herramientas de IA son populares en el sector de ventas y dominio de ventas de empresa a empresa (B2B), lo que sugiere que las personas y las organizaciones en estas industrias son el foco principal de los actores de amenazas detrás de la campaña.
Uno de esos sitios web falsos de solución de IA es «Novaleadsai (.) Com». Se sospecha que el sitio web se promueve a través de la tecnología de adicción de Optimización de motores de búsqueda (SEO) para aumentar artificialmente las clasificaciones en los motores de búsqueda en línea.
Luego se alienta a los usuarios a descargar el producto afirmando que proporcionarán acceso gratuito a la herramienta en su primer año con una suscripción mensual de $ 95 después. El que realmente se descargará es un archivo zip que contiene el ejecutable .NET («Novaleadsai.exe») editado el 2 de febrero de 2025. El binario actúa como un cargador para implementar el ransomware cibernético basado en PowerShell.
El ransomware está equipado para aumentar los privilegios y volver a ejecutar los derechos administrativos incluso si no es así, encriptar archivos que se encuentran en las particiones «C: \,» «D: \,» «E: \» que coincidan con un conjunto de extensión particular. A continuación, deje caer una nota de rescate solicitándole que realice un pago de $ 50,000 en Monero en dos billeteras en tres días.
Con un giro interesante, el actor de amenaza continúa argumentando en su nota de rescate que se asignarán pagos para apoyar a mujeres y niños en Palestina, Ucrania, África, Asia y otras regiones, «la injusticia es la realidad diaria».
Ransomware Cyberlock Extensiones de archivo dirigidas
«Considere que esta cantidad de dinero es pequeña en comparación con las vidas inocentes perdidas, especialmente aquellos que pagan el precio final», dice el memorando. “Desafortunadamente, concluimos que muchas personas no quieren actuar espontáneamente.
El paso final implica que los actores de amenaza que emplean el «lolbin) de la vida del terreno (lolbin)» cipher.exe «con la opción»/w «, utilizando la opción»/w «, para evitar la recuperación forense de los archivos eliminados.
Talos también dijo que observó a los actores de amenaza que distribuyen el ransomware Lucky_Gh0 $ T bajo la apariencia de un instalador falso para la versión premium de ChatGPT.
«El instalador de SFX malicioso contenía una carpeta que contenía el ejecutable de Transomware Lucky_Gh0 $ con el nombre de archivo ‘dwn.exe imitando el ejecutable legal de Microsoft’ dwm.exe ‘», dijo Raghuprasad. «Esta carpeta también contenía herramientas legítimas de AI de código abierto de Microsoft disponibles en el repositorio de GitHub, especialmente para desarrolladores y científicos de datos que utilizan IA dentro del ecosistema de Azure».
Si la víctima ejecuta un archivo de instalador SFX malicioso, el script SFX ejecuta una carga útil de ransomware. Variante de ransomware de Yashma, Lucky_Gh0 $ T, se dirige a archivos cuyo tamaño de cifrado es inferior a aproximadamente 1.2GB, pero no antes de eliminar las copias y copias de seguridad de la sombra de volumen.
La nota de rescate disminuida al final del ataque contiene una identificación de descifrado personal única, que le indica a la víctima que se comunique con la aplicación de mensajería de la sesión para pagar el rescate y obtener el descifrador.
Por último, los actores de amenaza han ganado un aumento en el uso de herramientas de IA utilizando herramientas de IA, implementando el juego de códigos de malware destructivo Numero con el instalador falsificado para Invideo AI, una plataforma de creación de video con IA.
El instalador fraudulento actúa como un gotero que contiene tres componentes: archivos por lotes de Windows, script de Visual Basic y ejecutable de Numero. Cuando se inicia el instalador, el archivo por lotes se ejecuta a través de Windows Shell en un bucle infinito, ejecutando Numero y deteniéndose temporalmente durante 60 segundos ejecutando el script VB a través de CScript.
«Después de reiniciar la ejecución, el archivo por lotes terminará el proceso de malware Numero y reiniciará la ejecución», dijo Talos. «Al implementar un bucle infinito en un archivo por lotes, el malware Numero se ejecuta continuamente en la máquina de víctimas».
Numero, un ejecutable de Windows de 32 bits escrito en C ++, ahora verificará la presencia de herramientas de análisis de malware y los depugadores entre los procesos en ejecución, anulando el título de la ventana de escritorio, los botones y el contenido con la cadena numérica «1234567890». Editado el 24 de enero de 2025.
La divulgación se produce cuando Mandiant, propiedad de Google, ha revelado detalles de una campaña fraudulenta en la que utiliza anuncios maliciosos en Facebook y LinkedIn para redirigir a los usuarios al hacerse pasar por herramientas legales del generador de videos de IA como Luma AI, Canva Dream Lab y Kling AI.
La actividad recientemente expuesta por Morphysec y Checkpoint a principios de este mes proviene de liderar el camión gigante de Tech en una amenaza como UNC6032, que se califica con un nexo vietnamita. La campaña ha estado activa desde al menos mediados de 2014.
De esta manera, el ataque se desarrollará. Los usuarios que no se sospechan que aterrizan en estos sitios web recibirán instrucciones de proporcionar un mensaje de entrada para generar el video. Sin embargo, como hemos observado anteriormente, la entrada no es importante ya que la responsabilidad principal del sitio web es comenzar a descargar una carga útil basada en el óxido llamado StarkVeil.
«(StarkVeil) deja caer tres familias de malware modulares diferentes diseñadas principalmente para el robo de información y permite que los complementos se descarguen para extender la funcionalidad», dice Mandiant. «La presencia de múltiples cargas útiles similares sugiere un mecanismo a prueba de fallas, lo que permite que el ataque dure, incluso si algunas cargas útiles son detectadas o bloqueadas por la defensa de seguridad».
Las tres familias de malware son:
Grimpull, un descargador que utiliza un túnel Tor para obtener cargas útiles adicionales de .NET que se descifran, descompriman y se cargan en la memoria como ensamblajes de .NET Frostrift, una puerta trasera .NET que recopila información del sistema, detalles sobre aplicaciones instaladas y exploraciones de 48 extensiones relacionadas con los administradores de contraseñas de los controles de contraseña y las redes de redes de redes de cromo. (rata) con características como Keylog basado en .NET, ejecución de comandos, captura de pantalla, recopilación de información, notificación de víctimas a través de Telegram
Starkveil también sirve como un conducto para lanzar una bobina con nombre en código de dropper con sede en Python que impone realmente ejecutar las tres cargas útiles mencionadas anteriormente a través de Sideloads de DLL.
«Estas herramientas de IA ya no se dirigen solo a los diseñadores gráficos. Cualquiera puede ser invitado a un anuncio aparentemente inofensivo», dijo Mandiant. «La tentación de probar las últimas herramientas de IA puede llevar a que cualquiera sea una víctima».
Source link
