Hackerii folosesc reclamele de pe Facebook și paginile preluate pentru a promova servicii false de Inteligență Artificială, cum ar fi MidJourney, SORA de la OpenAI și ChatGPT-5, și DALL-E, pentru a infecta utilizatorii nevinovați cu malware care fură parole.
Campaniile de malware sunt create de profiluri de Facebook preluate care impersonalizează servicii populare de AI, pretinzând că oferă o previzualizare a noilor caracteristici.
Utilizatorii păcăliți de reclame devin membri ai comunităților frauduloase de pe Facebook, unde actorii amenințării postează știri, imagini generate de AI și alte informații relevante pentru a face paginile să pară legitime.
Cu toate acestea, postările comunității promovează adesea accesul limitat la serviciile de AI viitoare și așteptate cu nerăbdare, păcălind utilizatorii să descarce executabile malware care infectează computerele Windows cu malware care fură informații, cum ar fi Rilide, Vidar, IceRAT și Nova.
Malware-ul care fură informații se concentrează pe furtul de date din browserul unei victime, inclusiv acreditările stocate, cookie-urile, informațiile portofelului de criptomonede, datele de autocompletare și informațiile de card de credit.
Aceste date sunt apoi vândute pe piețele dark web sau folosite de atacatori pentru a sparge conturile online ale țintei pentru a promova alte escrocherii sau a efectua fraude.
Rezultatul acestor campanii este uluitor în unele cazuri, deoarece interesul oamenilor pentru AI este foarte ridicat în prezent. Dezvoltările din domeniu sunt atât de rapide încât nu este ușor pentru oameni să țină pasul și să facă distincție între anunțurile legitime și cele false.
Într-unul dintre cazurile observate de cercetătorii de la Bitdefender, o pagină de Facebook malițioasă care impersonaliza Midjourney a adunat 1.2 milioane de urmăritori și a rămas activă timp de aproape un an înainte de a fi în cele din urmă eliminată.
Pagina nu a fost creată de la zero; în schimb, atacatorii au preluat un profil existent în iunie 2023 și l-au transformat într-o pagină falsă Midjourney. Facebook a închis pagina în data de 8 martie 2024.
Multe postări i-au păcălit pe oameni să descarce infostealer-urile promovând o versiune de desktop inexistentă a instrumentului. Unele postări au evidențiat lansarea lui V6, care încă nu este oficial disponibilă (cea mai recentă versiune fiind V5).
În alte cazuri, reclamele malițioase au promovat oportunități de a crea artă NFT și de a monetiza creațiile lor.
Deși pagina impostoare cu peste 1.2 milioane de urmăritori a fost recent închisă, cercetările noastre au arătat că infractorii cibernetici au acționat rapid pentru a crea o nouă pagină impersonalizând Midjourney între 8-9 martie 2024. Pagina a fost de asemenea creată după preluarea contului de Facebook al unui alt utilizator, care a comentat de asemenea în secțiunea de recenzii a paginii avertizând ceilalți utilizatori că contul a fost spart. De când am început investigația noastră, am observat încă patru pagini de Facebook care încearcă să impersonalizeze Midjourney, unele dintre ele fiind de asemenea eliminate de pe platformă.
Cea mai recentă pagină malițioasă care impersonalizează Midjourney pare să fi fost preluată de atacatori pe 18 martie când infractorii au schimbat numele original al paginii de Facebook. Până la 26 martie, profilul de scamare are 637,000 de urmăritori.
Succesul acestei campanii evidențiază sofisticarea strategiilor de malvertising bazate pe social media și importanța vigilenței atunci când interacționăm cu reclamele online.
Scala vastă a rețelelor de socializare precum Facebook, împreună cu o moderare insuficientă, permit acestor campanii să persiste pentru perioade îndelungate, facilitând răspândirea necontrolată a malware-ului ce duce la daune extinse din infecțiile cu malware.
Leave a Reply