Incidentes Asociados
Un atacante ofrece supuestas herramientas de IA generativa a usuarios de grupos de Facebook, solo para infectarlos con malware una vez que suben su contenido multimedia a la herramienta fraudulenta.
El proveedor de seguridad Morphisec detalló una campaña el 8 de mayo en la que actores de amenazas anuncian plataformas con temática de IA en redes sociales como Facebook, ofreciendo generar imágenes, vídeos, sitios web, logotipos y más con IA.
Sin embargo, una vez que el usuario sube algo como una imagen de referencia, el sitio web falso procesa el material y le indica que descargue un producto final. Ese producto final, al menos en el contexto de esta campaña, es malware. En una entrada de blog de investigación, el investigador de Morphisec, Shmuel Uzan, detalló variantes de "Noodlophile Stealer", un malware con una función muy compleja que "combina el robo de credenciales del navegador, la exfiltración de billeteras y la implementación opcional de acceso remoto".
En un momento de gran revuelo en torno a LLM, una campaña de malware como esta podría atrapar no solo a particulares, sino también a pequeñas empresas que buscan acceder a herramientas de marketing gratuitas.
Cómo funciona la campaña
Los actores de amenazas crean grupos de Facebook que afirman ofrecer herramientas de IA generativa a los usuarios, en particular haciéndose pasar por el producto Dream Machine de Luma AI, una herramienta LLM legítima.
Estos grupos incluyen enlaces a sitios web fraudulentos y de apariencia creíble que prometen convertir archivos e indicaciones en diversos medios y materiales de marketing. Existen numerosos grupos, cada uno con miles de seguidores, explicó Uzan. Una simple búsqueda en redes sociales suele dar lugar a grupos adicionales a gran escala, creando una red que amplifica el alcance y la visibilidad de estas herramientas falsas.
Como se ha indicado, al finalizar el procesamiento, el sitio web indica al usuario que descargue el archivo completo. Aquí es donde entra en juego el malware.
En la etapa final, se indica a los usuarios que descarguen el contenido 'procesado'. En realidad, sin saberlo, descargan un archivo malicioso, según la entrada del blog. Este archivo instala malware, como Noodlophile o Noodlophile incluido en XWorm, en sus sistemas, lo que permite a los atacantes robar datos, recopilar credenciales y, potencialmente, obtener acceso remoto a los dispositivos infectados.
Noodlophile y los gusanos que lo acompañan se instalan como la última parte de una cadena de ataque que comienza con una serie de componentes descargados a través de estos sitios web falsos, como un cargador .Net e instrucciones para un script de persistencia. Noodlophile roba credenciales de navegador, cookies y criptomonedas antes de enviarlas a un bot de Telegram. La investigación de Morphisec incluye indicadores de vulnerabilidad.
Noodlophile se refiere tanto al malware como a su desarrollador, que, según Uzan, probablemente era de origen vietnamita. El malware se ofrece como parte de esquemas de malware como servicio (MaaS).
Conclusiones de los defensores
Una campaña como esta es engañosa, ya que las dificultades económicas, combinadas con presupuestos ajustados, pueden crear situaciones en las que un empleado de una pequeña o mediana empresa puede acceder a un sitio web, viendo la oportunidad de crear materiales de marketing de bajo costo o gratuitos, solo para luego verse comprometido por no haber recibido capacitación para evitar este tipo de esquemas.
Michael Gorelik, director de tecnología de Morphisec, explica a Dark Reading que los principales objetivos de esta campaña son autónomos, entusiastas de la IA, pymes y usuarios en general. Añade que se detectaron infecciones en empresas medianas, incluyendo al menos una situación en la que se bloqueó la carga útil de un ladrón antes de su ejecución completa.
Gorelik recomienda a los defensores evitar las plataformas de IA gratuitas o no verificadas que no se sepa si provienen de fuentes fiables, y mantener una estricta separación entre las actividades profesionales y personales. También recomienda tener cuidado con los archivos comprimidos descargados, como .zip y .rar, y, por supuesto, educar a los usuarios para evitar intentos de phishing y comportamientos de riesgo.