Agentes de ameaças vinculados a projetos menos conhecidos de ransomware e malware agora usam ferramentas de IA como iscas para infectar vítimas desavisadas com cargas maliciosas.
Esse desenvolvimento segue uma tendência que vem crescendo desde o ano passado, começando com agentes de ameaças avançadas usando geradores de conteúdo deepfake para infectar vítimas com malware.
Essas iscas foram amplamente adotadas por operadores de malware que roubam informações e operações de ransomware que tentam invadir redes corporativas.
Pesquisadores do Cisco Talos descobriram que a mesma técnica agora é seguida por equipes menores de ransomware conhecidas como CyberLock, Lucky_Gh0$t e um novo malware chamado Numero.
Os payloads maliciosos são promovidos por meio de envenenamento de SEO e malvertising para obter uma classificação alta nos resultados de mecanismos de busca para termos específicos.
Representação de ferramenta de IA
CyberLock é um ransomware baseado em PowerShell distribuído por meio de um site falso de ferramenta de IA (novaleadsai[.]com) que se passa pelo legítimo novaleads.app.
As vítimas são atraídas por ofertas de assinatura gratuita de 12 meses, o que as leva a baixar um carregador .NET que implementa o ransomware.
Uma vez executado na máquina da vítima, o CyberLock criptografa arquivos em várias partições de disco, anexando a extensão .cyberlock aos arquivos bloqueados.
A nota de resgate exige um resgate de US$ 50.000 a ser pago na criptomoeda Monero, difícil de rastrear, alegando que os fundos apoiarão causas humanitárias na Palestina, Ucrânia, África e Ásia.
Lucky_Gh0$t é uma nova cepa de ransomware derivada do Yashma, que por sua vez é baseado no ransomware Chaos.
Analistas da Cisco observaram que ele estava sendo distribuído como um instalador falso do ChatGPT (“ChatGPT 4.0 versão completa – Premium.exe”) empacotado em um arquivo autoextraível.
O pacote inclui ferramentas legítimas de IA de código aberto da Microsoft junto com a carga de ransomware, provavelmente para escapar da detecção de antivírus.
Se executado, ele criptografa arquivos menores que 1,2 GB, acrescentando extensões aleatórias de quatro caracteres, enquanto arquivos maiores são substituídos por um arquivo inútil do mesmo tamanho e excluídos.
As vítimas do Lucky_Gh0$t recebem uma identificação pessoal e são instruídas a entrar em contato com o invasor por meio da plataforma de mensagens segura Session para negociações de resgate e descriptografia.
Fonte: Cisco Talos
Finalmente, um novo malware chamado Numero se disfarça como um instalador do InVideo AI, mas foi projetado para atacar sistemas Windows.
O malware é entregue em um dropper contendo um arquivo em lote, um script VB e um executável chamado wintitle.exe.
Ele é executado em um loop infinito, corrompendo continuamente a interface gráfica do usuário da vítima, sobrescrevendo títulos de janelas, botões e conteúdo com a sequência numérica “1234567890”.
Embora nenhum dado seja destruído ou criptografado pelo Numero, o malware torna os sistemas Windows infectados completamente inutilizáveis. Ao mesmo tempo, o loop infinito que ele executa garante que o sistema fique “travado” nesse estado visualmente corrompido.
À medida que mais criminosos cibernéticos tentam tirar vantagem do crescente interesse das pessoas em ferramentas de IA, é recomendável ter cuidado com arquivos baixados de sites duvidosos.
Seria mais prudente se ater a grandes projetos de IA em vez de experimentar novas ferramentas e obter os instaladores de sites oficiais em vez de seguir links de resultados promovidos ou postagens em mídias sociais.
