Uma ferramenta falsificada destinada a criar imagens e vídeos por meio de inteligência artificial está sendo empregada na distribuição de malwares que visam subtrair dados em sistemas Windows e macOS.
A estratégia maliciosa engaja anúncios na plataforma X (conhecida anteriormente como Twitter) para capturar a atenção das vítimas.
Esse ataque foi descoberto pelo pesquisador de cibersegurança g0njxa.
O esquema envolve um aplicativo fraudulento chamado EditProAI, acompanhado de dois malwares distintos: o Lumma Stealer, atuante no Windows, e o AMOS, operante no macOS.
O principal ponto de distinção entre eles reside na compatibilidade com as diferentes plataformas.
Ambos os malwares têm em comum a capacidade de coletar informações de navegadores tais como Chrome, Firefox, Edge, entre outros.
Dados sensíveis como cookies, credenciais, senhas, informações de cartões de crédito e históricos de navegação estão entre as informações visadas.
Além desses, os aplicativos mal-intencionados também se voltam contra carteiras de criptomoedas.
Para a propagação desse malware, os agentes por trás do ataque promovem anúncios atraentes no X.
Tais propagandas recorrem a deepfakes com contornos políticos.
Em um dos exemplos, o presidente dos EUA, Joe Biden, é mostrado degustando sorvete ao lado de seu opositor político, o presidente-eleito Donald Trump.
Clicando na propaganda, o usuário é redirecionado ao site do EditProAI.
Existem dois domínios distintos nesse encaminhamento: usuários Windows são levados a um endereço terminado em “pro”, enquanto os de Mac são direcionados a um finalizado em “org”.
Conforme reportado pelo Bleeping Computer, os sites apresentam um aspecto extremamente profissional, inclusive com um banner para consentimento do uso de cookies.
Ao clicar no botão “Get Now”, o site disponibiliza um arquivo .exe para os usuários de Windows e um .dmg para os de macOS.
Interessante notar que a versão Windows vem com uma assinatura do site softwareok.com – o que sugere a possibilidade de a assinatura ter sido usurpada.
Ao executar o arquivo em um ambiente sandbox, identifica-se o malware Lumma Stealer.
Este ataque destaca-se por amalgamar duas táticas cada vez mais recorrentes.
Uma delas é a exploração do crescente interesse do público por inteligência artificial como um chamariz.
Plataformas como o ChatGPT e o Gemini (antiguamente conhecido como Bard) já foram utilizadas em campanhas similares.
A outra tática consiste no aproveitamento das grandes redes de publicidade para alcançar um vasto número de potenciais vítimas.
Esse método é conhecido como "malvertising".
Um ataque recente montou um site falso do Google Authenticator e veiculou anúncios para ele no próprio motor de busca da Google.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...