Uma ferramenta falsa para gerar imagens e vídeos usando inteligência artificial está sendo usada para distribuir malwares capazes de roubar dados no Windows e no macOS. O ataque usa anúncios no X (antigo Twitter) para chamar a atenção das vítimas.
O ataque foi descoberto pelo pesquisador de cibersegurança conhecido como g0njxa. Ele envolve um aplicativo fake, o EditProAI, e dois malwares diferentes: o Lumma Stealer, que funciona no Windows, e o AMOS, que funciona no macOS. A única diferença entre eles é mesmo a compatibilidade com as plataformas.
Em comum, eles coletam informações de navegadores como Chrome, Firefox, Edge e outros. Entre os dados obtidos, estão cookies, credenciais, senhas, cartões de crédito e histórico de navegação. Os apps maliciosos também roubam carteiras de criptomoedas.
Malware usa anúncios do X
Para distribuir este malware, os responsáveis pelo ataque criam anúncios chamativos no X. As propagandas usam deepfakes de temática política. Em uma das peças, o presidente dos EUA, Joe Biden, aparece tomando sorvete com seu rival político, o presidente-eleito Donald Trump.
Ao clicar na propaganda, o usuário é levado ao site do EditProAI. São dois domínios diferentes: máquinas com Windows vão para o endereço com final “pro”, enquanto quem tem Mac vai para o endereço terminado em “org”.
Como nota o Bleeping Computer, as páginas têm uma aparência bastante profissional, contando até com o banner para aceitar o uso de cookies. Ao clicar no botão “Get Now”, o site entrega um arquivo .exe para os usuários de Windows e um .dmg para os usuários de macOS.
A versão para Windows vem com a assinatura do site softwareok.com — provavelmente, ela foi roubada. Ao rodar o arquivo em um sandbox, é possível detectar o malware Lumma Stealer.
Propaganda e IA viram iscas
O ataque chama a atenção por combinar duas práticas cada vez mais frequentes. Uma delas é usar o interesse pela inteligência artificial como chamativo. O ChatGPT e o Gemini (quando ainda se chamava Bard) foram usados em campanhas deste tipo.
A outra é explorar as grandes plataformas de anúncios para atingir o maior número de vítimas em potencial. A prática tem até nome: “malvertising”. Recentemente, um ataque criou um site falso do Google Authenticator e colocou propagandas para ele no próprio Google.
Com informações: Bleeping Computer
Malware usa editor de vídeos com IA como isca para roubar dados