Penginstal palsu untuk alat -alat Popular Buatan (AI) seperti Openai Chatgpt dan Invideo AI digunakan sebagai umpan untuk menyebarkan berbagai ancaman, seperti keluarga ransomware Cyberlock dan Lucky_GH0 $ T, dan malware baru yang dijuluki Numero.
“Cyberlock Ransomware, dikembangkan menggunakan PowerShell, terutama berfokus pada enkripsi file spesifik pada sistem korban,” kata peneliti Cisco Talos Chetan Raghuprasad dalam sebuah laporan yang diterbitkan hari ini. “Lucky_GH0 $ T Ransomware adalah varian lain dari Yashma Ransomware, yang merupakan iterasi keenam dari seri Chaos Ransomware, yang hanya menampilkan modifikasi kecil pada biner ransomware.”
Numero, di sisi lain, adalah malware destruktif yang memengaruhi korban dengan memanipulasi komponen antarmuka pengguna grafis (GUI) dari sistem operasi Windows mereka, sehingga membuat mesin tidak dapat digunakan.
Perusahaan cybersecurity mengatakan versi yang sah dari alat AI populer di domain penjualan bisnis-ke-bisnis (B2B) dan sektor pemasaran, menunjukkan bahwa individu dan organisasi di industri ini adalah fokus utama dari para aktor ancaman di balik kampanye tersebut.
Salah satu situs web solusi AI palsu adalah “Novaleadsai[.]com, “yang kemungkinan menyamar sebagai platform monetisasi utama yang disebut Novaleads. Diduga bahwa situs web dipromosikan melalui teknik keracunan Optimasi Mesin Pencari (SEO) untuk secara artifisial meningkatkan peringkatnya di mesin pencari online.
Pengguna kemudian didesak untuk mengunduh produk dengan mengklaim menawarkan akses gratis ke alat untuk tahun pertama, dengan berlangganan bulanan $ 95 sesudahnya. Apa yang benar -benar diunduh adalah arsip zip yang berisi .net executable (“novaleadsai.exe”) yang disusun pada 2 Februari 2025, pada hari yang sama domain palsu dibuat. Biner, pada bagiannya, bertindak sebagai pemuat untuk menggunakan ransomware cyberlock berbasis PowerShell.
Ransomware dilengkapi untuk meningkatkan hak istimewa dan mengeksekusi kembali dengan izin administrasi, jika belum, dan mengenkripsi file yang terletak di partisi “C: \,” “D: \,” dan “E: \” yang cocok dengan serangkaian ekstensi tertentu. Kemudian menjatuhkan uang tebusan yang menuntut agar pembayaran $ 50.000 dilakukan di Monero menjadi dua dompet dalam waktu tiga hari.
Dalam twist yang menarik, aktor ancaman selanjutnya mengklaim dalam catatan tebusan bahwa pembayaran akan dialokasikan untuk mendukung perempuan dan anak -anak di Palestina, Ukraina, Afrika, Asia, dan daerah lain di mana “ketidakadilan adalah kenyataan sehari -hari.”
 |
| Ekstensi file yang ditargetkan oleh cyberlock ransomware |
“Kami meminta Anda untuk mempertimbangkan bahwa jumlah ini kecil dibandingkan dengan nyawa yang tidak bersalah yang hilang, terutama anak -anak yang membayar harga tertinggi,” kata catatan itu. “Sayangnya, kami telah menyimpulkan bahwa banyak yang tidak mau bertindak secara sukarela untuk membantu, yang menjadikan ini satu -satunya solusi yang mungkin.”
Langkah terakhir melibatkan aktor ancaman yang menggunakan biner Living-the-Land (LOLBIN) “cipher.exe” dengan opsi “/w” untuk menghapus ruang disk yang tidak digunakan yang tersedia pada seluruh volume untuk menghambat pemulihan forensik file yang dihapus.
Talos mengatakan mereka juga mengamati aktor ancaman yang mendistribusikan ransomware $ t lucky_gh0 dengan kedok pemasang palsu untuk versi premium chatgpt.
“Penginstal SFX jahat menyertakan folder yang berisi ransomware $ t Lucky_GH0 yang dapat dieksekusi dengan nama file 'dwn.exe,' yang meniru Microsoft yang sah yang dapat dieksekusi 'DWM.EXE,'” kata Raghuprasad. “Folder ini juga berisi alat AI open-source Microsoft yang sah yang tersedia di repositori GitHub mereka untuk pengembang dan ilmuwan data yang bekerja dengan AI, terutama di dalam ekosistem Azure.”
Jika korban menjalankan file penginstal SFX berbahaya, skrip SFX menjalankan muatan ransomware. Varian Yashma Ransomware, Lucky_GH0 $ T menargetkan file yang kira -kira kurang dari 1,2GB untuk enkripsi, tetapi tidak sebelum menghapus volume bayangan salinan dan cadangan.
Catatan tebusan turun di akhir serangan termasuk ID dekripsi pribadi yang unik dan menginstruksikan para korban untuk menjangkau mereka melalui aplikasi pesan sesi untuk pembayaran tebusan dan untuk mendapatkan dekriptor.
Last but not least, aktor ancaman juga menguangkan penggunaan alat AI untuk menyemai lanskap online dengan pemasang palsu untuk Invideo AI, platform pembuatan video bertenaga AI, untuk menggunakan malware yang merusak numero.
Penginstal penipuan berfungsi sebagai penetes yang berisi tiga komponen: file batch windows, skrip dasar visual, dan numero dapat dieksekusi. Ketika penginstal diluncurkan, file batch dijalankan melalui shell windows dalam loop tak terbatas, yang, pada gilirannya, mengeksekusi numero dan kemudian menghentikannya sementara selama 60 detik dengan menjalankan skrip VB melalui cscript.
“Setelah melanjutkan eksekusi, file batch mengakhiri proses malware Numero dan memulai kembali eksekusi,” kata Talos. “Dengan menerapkan loop tak terbatas dalam file batch, malware numero terus berjalan pada mesin korban.”
Windows 32-bit yang dapat dieksekusi tertulis di C ++, Numero memeriksa keberadaan alat analisis malware dan debugger di antara proses berjalan, dan mulai menimpa judul, tombol, dan konten jendela desktop dengan string numerik “1234567890.” Itu disusun pada 24 Januari 2025.
Pengungkapan itu datang ketika Google-milik Mandiant mengungkapkan detail kampanye malvertising yang memanfaatkan iklan berbahaya di Facebook dan LinkedIn untuk mengarahkan pengguna ke situs web palsu yang menyamar sebagai alat generator video AI yang sah seperti Luma AI, Canva Dream Lab, dan Kling AI, antara lain.
Kegiatan tersebut, yang juga baru -baru ini diekspos oleh Morphisec dan Cek Titik awal bulan ini, telah dikaitkan dengan gugus ancaman raksasa teknologi sebagai UNC6032, yang dinilai memiliki nexus Vietnam. Kampanye ini telah aktif sejak setidaknya pertengahan 2024.
Serangan itu terungkap dengan cara ini: pengguna yang tidak curiga yang mendarat di situs web ini diinstruksikan untuk memberikan prompt input untuk menghasilkan video. Namun, seperti yang diamati sebelumnya, input tidak masalah, karena tanggung jawab utama situs web ini adalah untuk memulai pengunduhan muatan dropper berbasis karat yang disebut Starkveil.
“[STARKVEIL] Mengurangi tiga keluarga malware modular yang berbeda, terutama dirancang untuk pencurian informasi dan mampu mengunduh plugin untuk memperluas fungsionalitasnya, “kata Mandiant.” Kehadiran beberapa muatan yang serupa menunjukkan mekanisme yang gagal-aman, memungkinkan serangan itu bertahan bahkan jika beberapa muatan terdeteksi atau diblokir oleh pertahanan keamanan. “
Tiga keluarga malware ada di bawah –
- Grimpull, pengunduh yang menggunakan terowongan Tor untuk mengambil payload .NET tambahan yang didekripsi, didekompresi, dan dimuat ke dalam memori sebagai .NET Assemblies
- Frostrift, .Net Backdoor yang mengumpulkan informasi sistem, detail tentang aplikasi yang diinstal, dan pemindaian untuk 48 ekstensi yang terkait dengan manajer kata sandi, autentikator, dan dompet cryptocurrency pada browser web berbasis kromium
- XWorm, Trojan Remote Access (RAT) berbasis .NET yang dikenal dengan fitur-fitur seperti Keylogging, eksekusi perintah, penangkapan layar, pengumpulan informasi, dan pemberitahuan korban melalui Telegram
Starkveil juga berfungsi sebagai saluran untuk meluncurkan coilhatch codeNeT yang berbasis di Python yang sebenarnya ditugaskan untuk menjalankan tiga muatan yang disebutkan di atas melalui pemuatan samping DLL.
“Alat AI ini tidak lagi menargetkan hanya desainer grafis; siapa pun dapat dipikat oleh iklan yang tampaknya tidak berbahaya,” kata Mandiant. “Godaan untuk mencoba alat AI terbaru dapat menyebabkan siapa pun menjadi korban.”
