Szövegből kártevő
A Mandiant által azonosított UNC6032 kampány az AI iránti fokozott érdeklődést kihasználva terjeszt rosszindulatú programokat hamis mesterséges intelligencia weboldalakon keresztül. A támadók olyan hamis AI-eszközöket reklámoznak, mint a Luma Dream AI Machine, Canva Dream Lab és Kling AI, amelyek valójában rosszindulatú szoftvereket terjesztenek.
A támadók közösségi média hirdetéseket használnak, különösen a Facebookon és a LinkedInen, hogy a felhasználókat ezekre a hamis weboldalakra irányítsák. A hirdetések gyakran valós AI-eszközökre hasonlítanak, és a felhasználók által megadott szöveges bemenetek alapján videók generálását ígérik. Azonban a letölthető fájlok valójában rosszindulatú programokat tartalmaznak, amelyek képesek adatlopásra és hátsó ajtók létrehozására a fertőzött rendszereken.
A letöltött fájlok gyakran dupla kiterjesztéssel rendelkeznek, például .mp4 .exe, ahol a két kiterjesztés között Braille-mintázatú üres karakterek találhatók, hogy megtévesszék a felhasználókat és a biztonsági szoftvereket. A fájlok végrehajtása után a rendszerbe egy Rust nyelven írt dropper, a STARKVEIL kerül, amely további rosszindulatú komponenseket telepít, beleértve a COILHATCH nevű Python-alapú droppert is. Ez utóbbi képes legitim folyamatokba injektálni a rosszindulatú kódot, és adatokat gyűjteni a felhasználókról.
A kampány során ellopott adatokat, például bejelentkezési hitelesítő adatokat, sütiket, hitelkártya-információkat és Facebook-adataikat a támadók a Telegram API-n keresztül továbbítják. A kampány 2024 közepe óta aktív, és különböző földrajzi területeken és iparágakban okozott károkat. A Google Threat Intelligence Group (GTIG) szerint az UNC6032 kampány vietnámi eredetű lehet.
A Meta együttműködik a Mandianttal a rosszindulatú hirdetések, domainek és fiókok eltávolításában, és már 2024-ben megkezdte a káros tartalmak felismerését és eltávolítását. A kampány azonban továbbra is aktív, és a támadók folyamatosan új taktikákat alkalmaznak a felismerés elkerülése érdekében.
A védekezés érdekében a felhasználóknak óvatosnak kell lenniük az ismeretlen forrásból származó AI-eszközökkel kapcsolatban, és kerülniük kell az ismeretlen hirdetésekre való kattintást. A szervezeteknek javasolt a biztonsági intézkedések megerősítése, beleértve a kétfaktoros hitelesítés alkalmazását és a rendszeres biztonsági ellenőrzéseket.
