Página falsa de IA do Facebook no MidJourney promove malware para 1,2 milhão de pessoas
8 de Abril de 2024

Hackers estão utilizando anúncios no Facebook e páginas sequestradas para promover serviços falsos de Inteligência Artificial, como MidJourney, OpenAI's SORA e ChatGPT-5, e DALL-E, a fim de infectar usuários desavisados com malware de roubo de senhas.

As campanhas de malvertising são criadas por perfis sequestrados no Facebook que se passam por serviços populares de IA, fingindo oferecer uma prévia de novos recursos.

Usuários enganados pelos anúncios tornam-se membros de comunidades fraudulentas no Facebook, onde os autores das ameaças postam notícias, imagens geradas por IA e outras informações relacionadas para fazer as páginas parecerem legítimas.

Contudo, as postagens nas comunidades frequentemente promovem acesso limitado a serviços de IA altamente antecipados, enganando os usuários a baixar executáveis maliciosos que infectam computadores Windows com malware de roubo de informações, como Rilide, Vidar, IceRAT e Nova.

Malware de roubo de informações foca em extrair dados do navegador da vítima, incluindo credenciais armazenadas, cookies, informações de carteiras de criptomoedas, dados de preenchimento automático e informações de cartão de crédito.

Esses dados são então vendidos em mercados da dark web ou utilizados pelos atacantes para invadir as contas online do alvo para promover mais golpes ou realizar fraudes.

O alcance dessas campanhas é impressionante em alguns casos, já que o interesse das pessoas em IA é atualmente muito alto.

Os desenvolvimentos no campo são tão rápidos que não é fácil para as pessoas acompanharem e discernirem anúncios legítimos de falsificações óbvias.

Em um dos casos observados pelos pesquisadores da Bitdefender, uma página maliciosa no Facebook se passando por Midjourney acumulou 1,2 milhões de seguidores e permaneceu ativa por quase um ano antes de ser eventualmente derrubada.

A página não foi criada do zero; em vez disso, os atacantes sequestraram um perfil existente em junho de 2023 e o converteram em uma página falsa de Midjourney.

O Facebook desativou a página em 8 de março de 2024.

Muitas postagens enganaram as pessoas para baixarem os infostealers promovendo uma versão desktop inexistente da ferramenta.

Algumas postagens destacavam o lançamento da V6, que ainda não foi oficialmente lançada (a última versão é a V5).

Em outros casos, os anúncios maliciosos promoviam oportunidades para criar arte NFT e monetizar suas criações.

Como é possível visualizar os parâmetros de segmentação dos anúncios no Facebook na Biblioteca de Anúncios da Meta, os pesquisadores descobriram que os anúncios visavam um demográfico de homens de 25 a 55 anos na Europa, principalmente na Alemanha, Polônia, Itália, França, Bélgica, Espanha, Holanda, Romênia e Suécia.

Em vez de usar links do Dropbox e Google Drive para hospedar os payloads, os operadores desta campanha configuraram vários sites que clonavam a página de destino oficial do Midjourney, enganando os usuários a baixar o que pensavam ser a última versão da ferramenta de geração de arte via um link do GoFile.

Em vez disso, eles acabaram com Rilide v4, que se disfarça como uma extensão do Google Translate para o navegador web, escondendo efetivamente o malware enquanto sifonava cookies do Facebook e outros dados em segundo plano.

Embora esta página tenha sido removida desde então, os autores das ameaças lançaram uma nova página que ainda está ativa, com mais de 600.000 membros, promovendo um site fake de Midjourney distribuindo malware.

O sucesso desta campanha destaca a sofisticação das estratégias de malvertising baseadas em redes sociais e a importância da vigilância ao interagir com anúncios online.

A vasta escala de redes sociais como o Facebook, aliada à moderação insuficiente, permite que essas campanhas persistam por períodos prolongados, facilitando a disseminação descontrolada de malware que leva a amplos danos causados por infecções.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...