Uma ferramenta falsificada destinada a criar imagens e vídeos por meio de inteligência artificial está sendo empregada na distribuição de malwares que visam subtrair dados em sistemas Windows e macOS.
A estratégia maliciosa engaja anúncios na plataforma X (conhecida anteriormente como Twitter) para capturar a atenção das vítimas.
Esse ataque foi descoberto pelo pesquisador de cibersegurança g0njxa.
O esquema envolve um aplicativo fraudulento chamado EditProAI, acompanhado de dois malwares distintos: o Lumma Stealer, atuante no Windows, e o AMOS, operante no macOS.
O principal ponto de distinção entre eles reside na compatibilidade com as diferentes plataformas.
Ambos os malwares têm em comum a capacidade de coletar informações de navegadores tais como Chrome, Firefox, Edge, entre outros.
Dados sensíveis como cookies, credenciais, senhas, informações de cartões de crédito e históricos de navegação estão entre as informações visadas.
Além desses, os aplicativos mal-intencionados também se voltam contra carteiras de criptomoedas.
Para a propagação desse malware, os agentes por trás do ataque promovem anúncios atraentes no X.
Tais propagandas recorrem a deepfakes com contornos políticos.
Em um dos exemplos, o presidente dos EUA, Joe Biden, é mostrado degustando sorvete ao lado de seu opositor político, o presidente-eleito Donald Trump.
Clicando na propaganda, o usuário é redirecionado ao site do EditProAI.
Existem dois domínios distintos nesse encaminhamento: usuários Windows são levados a um endereço terminado em “pro”, enquanto os de Mac são direcionados a um finalizado em “org”.
Conforme reportado pelo Bleeping Computer, os sites apresentam um aspecto extremamente profissional, inclusive com um banner para consentimento do uso de cookies.
Ao clicar no botão “Get Now”, o site disponibiliza um arquivo .exe para os usuários de Windows e um .dmg para os de macOS.
Interessante notar que a versão Windows vem com uma assinatura do site softwareok.com – o que sugere a possibilidade de a assinatura ter sido usurpada.
Ao executar o arquivo em um ambiente sandbox, identifica-se o malware Lumma Stealer.
Este ataque destaca-se por amalgamar duas táticas cada vez mais recorrentes.
Uma delas é a exploração do crescente interesse do público por inteligência artificial como um chamariz.
Plataformas como o ChatGPT e o Gemini (antiguamente conhecido como Bard) já foram utilizadas em campanhas similares.
A outra tática consiste no aproveitamento das grandes redes de publicidade para alcançar um vasto número de potenciais vítimas.
Esse método é conhecido como "malvertising".
Um ataque recente montou um site falso do Google Authenticator e veiculou anúncios para ele no próprio motor de busca da Google.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...