Geradores falsos de imagens e vídeos com IA infectam Windows e macOS com os malwares Lumma Stealer e AMOS, usados para roubar credenciais e carteiras de criptomoedas de dispositivos infectados.
Lumma Stealer é um malware para Windows e AMOS é voltado para macOS, mas ambos roubam carteiras de criptomoedas, cookies, credenciais, senhas, cartões de crédito e histórico de navegação do Google Chrome, Microsoft Edge, Mozilla Firefox e outros navegadores baseados em Chromium.
Esses dados são coletados em um arquivo e enviados de volta ao atacante, onde eles podem usar as informações em ataques futuros ou vendê-las em marketplaces de cibercrimes.
Ao longo do último mês, atores de ameaças criaram sites falsos que se passam por um editor de vídeo e imagem com IA chamado EditPro.
Conforme descoberto pelo pesquisador de cibersegurança g0njxa, os sites são promovidos por meio de resultados de busca e anúncios na plataforma X que compartilham vídeos políticos deepfake, como o Presidente Biden e Trump desfrutando de sorvetes juntos.
Clicar nas imagens leva a sites falsos para o aplicativo EditProAI, com editproai[.]pro criado para disseminar malware para Windows e editproai[.]org para disseminar malware para macOS.
Os sites têm uma aparência profissional e até contêm o onipresente banner de cookies, fazendo com que pareçam legítimos.
Entretanto, clicar nos links "Baixe Agora" fará o download de um executável fingindo ser o aplicativo EditProAI.
Para usuários de Windows, o arquivo é chamado "Edit-ProAI-Setup-newest_release.exe" [VirusTotal] e para macOS, é nomeado "EditProAi_v.4.36.dmg" [VirusTotal].
O malware para Windows é assinado por o que parece ser um certificado de assinatura de código roubado de Softwareok.com, um desenvolvedor de utilitários freeware.
G0njxa diz que o malware usa um painel em "proai[.]club/panelgood/" para enviar os dados roubados, que podem então ser recuperados posteriormente pelos atores de ameaça.
Um relatório da AnyRun mostra a execução da variante Windows, com o serviço de sandbox detectando o malware como Lumma Stealer.
Se você baixou este programa no passado, deve considerar todas as suas senhas salvas, carteiras de criptomoedas e autenticações comprometidas e imediatamente redefini-las com senhas únicas em todos os sites que visita.
Você também deve habilitar a autenticação de múltiplos fatores em todos os sites sensíveis, como bolsas de criptomoedas, serviços bancários online, serviços de email e serviços financeiros.
Malwares de roubo de informações tiveram um crescimento massivo nos últimos anos, com atores de ameaças conduzindo operações globais massivas para roubar credenciais e tokens de autenticação das pessoas.
Outras campanhas recentemente divulgando infostealers incluem o uso de vulnerabilidades zero-day, correções falsas para problemas no GitHub e até respostas falsas no StackOverflow.
As credenciais roubadas são então usadas para invadir redes corporativas, conduzir campanhas de roubo de dados como vimos com os grandes vazamentos de contas do SnowFlake, e causar caos corrompendo informações de roteamento de rede.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...