Los instaladores falsos para herramientas populares de inteligencia sintético (AI) como OpenAi Chatgpt e Invideo AI se están utilizando como señuelos para propagar varias amenazas, como las familias Cyberlock y Lucky_Gh0 $ T Ransomware, y un nuevo malware denominado Numero.
«El ransomware Cyberlock, desarrollado utilizando PowerShell, se centra principalmente en encriptar archivos específicos en el sistema de la víctima», dijo hoy el investigador de Cisco Talos, Chetan Raghuprasad, en un crónica. «Lucky_gh0 $ T ransomware es otra variación del ransomware Yashma, que es la sexta iteración de la serie de ransomware Chaos, que presenta solo modificaciones menores en el binario de ransomware».
Numero, por otro costado, es un malware destructivo que afecta a las víctimas manipulando los componentes gráficos de la interfaz de heredero (GUI) de su sistema eficaz Windows, lo que hace que las máquinas no sean inutilizables.
La compañía de ciberseguridad dijo que las versiones legítimas de las herramientas de IA son populares en el dominio de ventas de empresa a empresa (B2B) y el sector de marketing, lo que sugiere que las personas y las organizaciones en estas industrias son el foco principal de los actores de amenazas detrás de la campaña.
Uno de esos sitios web falsos de alternativa de IA es «Novaleadsai (.) Com», que probablemente se hace tener lugar por una plataforma de monetización principal citación Novaleads. Se sospecha que el sitio web se promueve mediante técnicas de envenenamiento de optimización de motores de búsqueda (SEO) para aumentar artificialmente sus clasificaciones en los motores de búsqueda en trayecto.
Luego se insta a los usuarios a descargar el producto afirmando ofrecer golpe gratis a la aparejo para el primer año, con una suscripción mensual de $ 95 a partir de entonces. Lo que verdaderamente se descarga es un archivo zip que contiene un ejecutable de .NET («Novaleadsai.exe») que se compiló el 2 de febrero de 2025, el mismo día en que se creó el dominio ficticio. El binario, por su parte, actúa como un cargador para implementar el ransomware cibernético basado en PowerShell.
El ransomware está equipado para aumentar los privilegios y retornar a ejecutarse con los permisos administrativos, si no es aún, y sigla archivos ubicados en las particiones «C: ,» «D: y» E: «que coinciden con un cierto conjunto de extensiones. Luego deja caer una nota de rescate que exige que se realice un cuota de $ 50,000 en Monero en dos billeteras en tres días.
En un letra interesante, el actor de amenaza reclama en la nota de rescate que los pagos se asignarán para apoyar a mujeres y niños en Palestina, Ucrania, África, Asia y otras regiones donde «las injusticias son una verdad diaria».
 |
| Extensiones de archivo dirigidas por ransomware cyberlock |
«Le pedimos que considere que esta cantidad es pequeña en comparación con las vidas inocentes que se están perdiendo, especialmente los niños que pagan el precio final», dice la nota. «Desafortunadamente, hemos concluido que muchos no están dispuestos a representar voluntariamente para ayudar, lo que hace que esta sea la única alternativa posible».
El final paso involucra al actor de amenaza que emplea el «CiPher.exe» binario de la tierra (lolbin) con la opción «/W» para eliminar el espacio de disco no utilizado adecuado en todo el prominencia para obstaculizar la recuperación forense de archivos eliminados.
Talos dijo que igualmente observó a un actor de amenaza que distribuye el ransomware Lucky_Gh0 $ T bajo la apariencia de un instalador ficticio para una lectura premium de ChatGPT.
«El instalador de SFX sagaz incluía una carpeta que contenía el ejecutable de ransomware Lucky_Gh0 $ T con el nombre de archivo ‘dwn.exe’, que imita el auténtico ejecutable de Microsoft ‘dwm.exe'», dijo Raghuprasad. «La carpeta igualmente contenía herramientas de IA de código hendido legítimas que están disponibles en su repositorio de GitHub para desarrolladores y científicos de datos que trabajan con IA, particularmente interiormente del ecosistema de Azure».
Si la víctima ejecuta el archivo de instalador SFX sagaz, el script SFX ejecuta la carga útil de Ransomware. Una variación de ransomware Yashma, Lucky_Gh0 $ T se dirige a archivos que tienen aproximadamente menos de 1.2GB de tamaño para el enigmático, pero no ayer de eliminar copias y copias de seguridad de sombras de prominencia.
La nota de rescate que se redujo al final del ataque incluye una identificación de descifrado personal única e indica a las víctimas que se comuniquen con ellos a través de la aplicación de correo de sesión para un cuota de rescate y obtener un descifrador.
Por final, pero no menos importante, los actores de amenazas igualmente están aprovechando el uso creciente de herramientas de IA para sembrar el panorama en trayecto con un instalador falsificado para Invideo AI, una plataforma de creación de video con IA, para implementar un malware destructivo con nombre en código Numero.
El instalador fraudulento sirve como un cuentagotas que contiene tres componentes: un archivo por lotes de Windows, un script de Visual Basic y el ejecutable Numero. Cuando se inicia el instalador, el archivo por lotes se ejecuta a través del shell Windows en un tirabuzón infinito, que, a su vez, ejecuta Numero y luego lo detiene temporalmente durante 60 segundos ejecutando el script VB a través de CScript.
«A posteriori de reanudar la ejecución, el archivo por lotes termina el proceso de malware Numero y reinicia su ejecución», dijo Talos. «Al implementar el tirabuzón infinito en el archivo por lotes, el malware Numero se ejecuta continuamente en la máquina de víctimas».
Un ejecutable de Windows de 32 bits escrito en C ++, Numero verifica la presencia de herramientas de examen de malware y depuradores entre los procesos en ejecución, y procede a sobrescribir el título, los recadero y el contenido de la ventana de escritorio con la prisión numérica «1234567890». Fue compilado el 24 de enero de 2025.
La divulgación se produce cuando Mandiant, propiedad de Google, reveló detalles de una campaña malvertida que utiliza anuncios maliciosos en Facebook y LinkedIn para redirigir a los usuarios a sitios web falsos que se hacen tener lugar por herramientas legítimas de generadores de videos de IA como Luma AI, Canva Dream Lab y Kling AI, entre otros.
La actividad, que igualmente fue expuesta recientemente por Morphisec y Check Point a principios de este mes, se ha atribuido a un clúster de amenazas que el hércules tecnológico rastrea como UNC6032, que se evalúa por tener un enlace de Vietnam. La campaña ha estado activa desde al menos mediados de 2014.
El ataque se desarrolla de esta modo: los usuarios desprevenidos que aterrizan en estos sitios web reciben instrucciones de proporcionar un mensaje de entrada para originar un video. Sin incautación, como se observó anteriormente, la entrada no importa, ya que la responsabilidad principal del sitio web es iniciar la descarga de una carga útil basada en el óxido llamado StarkVeil.
«(StarkVeil) deja caer tres familias de malware modular diferentes, diseñadas principalmente para robo de información y capaz de descargar complementos para extender su funcionalidad», dijo Mandiant. «La presencia de múltiples cargas avíos similares sugiere un mecanismo a prueba de fallas, lo que permite que el ataque persista incluso si algunas cargas son detectadas o bloqueadas por defensas de seguridad».
Las tres familias de malware están a continuación –
- Grimpull, un descargador que utiliza un túnel Tor para obtener cargas avíos .NET adicionales que se descifran, descompriman y se cargan en la memoria como ensamblados .NET
- Frostrift, una puerta trasera de .NET que recopila información del sistema, detalles sobre aplicaciones instaladas y escaneos para 48 extensiones relacionadas con administradores de contraseñas, autenticadores y billeteras de criptomonedas en navegadores web basados en cromo
- XWORM, un troyano de golpe remoto basado en .NET (RAT) conocido con características como Keylogging, ejecución de comandos, captura de pantalla, sumario de información y notificación de víctimas a través de Telegram
Starkveil igualmente sirve como un conducto para exhalar un coilhatch con nombre en código de dropper basado en Python que en verdad tiene la tarea de ejecutar las tres cargas avíos mencionadas anteriormente a través de la carga adyacente de DLL.
«Estas herramientas de IA ya no se dirigen solo a los diseñadores gráficos; cualquier persona puede ser atraída por un anuncio aparentemente inofensivo», dijo Mandiant. «La tentación de probar la última aparejo de IA puede soportar a que cualquiera se convierta en una víctima».
