• Pesquisadores da
Check Point Software descobrem que cibercriminosos têm usado o Facebook para se
passarem por marcas populares de IA generativa, incluindo ChatGPT, Google Bard,
Midjourney e Jasper
• O objetivo é
induzir os usuários do Facebook a baixarem conteúdo de páginas e anúncios de
marcas falsas
• Esses downloads
contêm malware malicioso que rouba suas senhas online (banco, mídia social,
jogos, etc), carteiras de criptomoedas e qualquer informação salva em seu
navegador
• Usuários
desavisados estão curtindo e comentando postagens falsas, espalhando-as em suas
próprias redes sociais
Os
cibercriminosos seguem tentando novas formas de roubar informações privadas. Um
novo golpe descoberto pelos pesquisadores da Check Point Research (CPR),
divisão de Inteligência em Ameaças da Check
Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de
soluções de cibersegurança global, usa o Facebook para enganar as pessoas com o
objetivo de roubar suas senhas e seus dados privados, aproveitando o interesse
por aplicativos populares de IA generativa.
Primeiro,
os cibercriminosos criam páginas ou grupos falsos no Facebook para uma marca
popular, incluindo conteúdo atrativo. A pessoa desavisada comenta ou curte o
conteúdo, garantindo assim que ele apareça nos feeds de seus amigos. A página
falsa oferece um novo serviço ou conteúdo especial por meio de um link. Mas,
quando o usuário clica no link, ele inadvertidamente baixa um malware
projetado para roubar suas senhas online, carteiras de criptomoedas e outras informações
salvas em seu navegador.
“Os
cibercriminosos estão ficando mais espertos. Eles sabem que todos estão
interessados em IA generativa e estão usando páginas e anúncios do Facebook
para representar ChatGPT, Google Bard, Midjourney e Jasper. Infelizmente,
milhares de pessoas estão sendo vítimas desse golpe. Eles estão interagindo com
as páginas falsas, o que aumenta sua disseminação – e até mesmo instalando
malware disfarçado de ferramentas gratuitas de IA. Todos nós precisamos ficar
atentos para garantir que estão baixando apenas arquivos de sites autênticos e
confiáveis”, alerta Sergey Shykevich, gerente do grupo de Inteligência de
Ameaças da Check Point Research (CPR).
Muitas
das páginas falsas oferecem dicas, notícias e versões aprimoradas dos serviços
de IA de Google Bard ou ChatGPT:
A
imagem acima é apenas uma amostra de alguns posts. Existem muitas versões do
Bard New, Bard Chat, GPT-5, G-Bard AI e outros. Algumas postagens e grupos
também tentam aproveitar a popularidade de outros serviços de IA, como o
Midjourney:
Em
muitos casos, os cibercriminosos também atraem os usuários para outros serviços
e ferramentas de IA. Outra grande marca de IA, com mais de 2 milhões de fãs,
que é representada por cibercriminosos é a Jasper AI. Isso também mostra como
pequenos detalhes podem desempenhar um papel importante e significar a
diferença entre um serviço legítimo e uma fraude.
Os
usuários geralmente não têm ideia de que são golpes. Na verdade, eles estão
discutindo apaixonadamente o papel da IA nos comentários e
curtindo/compartilhando as postagens, o que amplia ainda mais seu alcance.
A
maioria dessas páginas do Facebook leva a outras de destino de tipo semelhante,
que incentivam os usuários a baixarem arquivos protegidos por senha que
supostamente estão relacionados a mecanismos de IA generativos:
Estudo de caso: página falsa do Midjourney AI
Os
agentes de ameaças por trás de certas páginas maliciosas do Facebook fazem de
tudo para garantir que pareçam autênticas, reforçando a aparente credibilidade
social. Quando um usuário desavisado pesquisa por “Midjourney AI” no Facebook,
e encontra uma página com 1,2 milhão de seguidores, é provável que acredite que
seja uma página autêntica.
O
mesmo princípio se aplica a outros indicadores de legitimidade da página:
quando as postagens na página falsa têm inúmeras curtidas e comentários, isso
indica que outros usuários já interagiram positivamente com o conteúdo,
diminuindo a probabilidade de suspeita.
O
objetivo principal dessa página falsa do Facebook do Mid-Journey AI é induzir
os usuários a baixarem malware. Para dar um ar de credibilidade, os links para
sites maliciosos são misturados com links para avaliações legítimas do
Midjourney ou redes sociais.
O
primeiro link, ai[-]midjourney[.]net, possui apenas um botão Get Started:
Esse
botão eventualmente redireciona para o segundo site falso, midjourneys[.]info,
que oferece o download do Midjourney AI grátis por 30 dias. Quando o usuário
clica no botão, ele realmente baixa um arquivo chamado MidJourneyAI[.]rar do
Gofile, uma plataforma gratuita de armazenamento e compartilhamento de
arquivos.
Assim
que o download termina, a vítima que espera ter baixado o instalador legítimo
do MidJourney é induzida a executar um arquivo malicioso chamado
Mid-Journey_Setup[.]exe.
Esse
arquivo de configuração falso fornece Doenerium, um infostealer de código
aberto, que foi observado
em vários outros golpes, com o objetivo final de coletar os dados pessoais das
vítimas.
O
malware armazena a si mesmo e todos os seus vários arquivos e diretórios
auxiliares na pasta TEMP:
O
malware usa vários serviços legítimos, como Github, Gofile e Discord, como meio
de comando e controle de comunicação e exfiltração de dados. Assim, a conta do
Github antivirusevasion69 é usada pelo malware para entregar o
webhook do Discord, que é usado para relatar todas as informações roubadas da
vítima ao canal Discord do atacante.
Primeiro,
o malware despacha uma mensagem de "Nova vítima" para o Discord,
fornecendo uma descrição da máquina infectada recentemente. A descrição inclui
detalhes como o nome do PC, versão do sistema operacional, RAM, tempo de
atividade e o caminho específico a partir do qual o malware foi executado.
Essas informações permitem que o atacante saiba com precisão qual golpe ou isca
levou à instalação do malware.
O
malware se esforça para coletar vários tipos de informações de todos os
principais navegadores, incluindo cookies, favoritos, histórico de navegação e
senhas. Além disso, ele visa carteiras de criptomoedas, incluindo Zcash,
Bitcoin, Ethereum e outras; e o malware ainda rouba credenciais de FTP do
Filezilla e sessões de várias plataformas sociais e de jogos.
Depois
que todos os dados são roubados da máquina de destino, eles são consolidados em
um único arquivo e carregados na plataforma de compartilhamento de arquivos
Gofile:
Posteriormente,
o infostealer envia uma mensagem "Infectado" para Discord, contendo
detalhes organizados sobre os dados que extraiu com sucesso da máquina com um
link para acessar o arquivo contendo as informações roubadas.
É
interessante mencionar que a maioria dos comentários na página falsa do
Facebook são feitos por bots com nomes vietnamitas, e o idioma de bate-papo
padrão em um site falso do MidJourney é vietnamita. Isso nos permite avaliar
com confiança baixa a média que esta campanha é executada por um agente de
ameaças afiliado ao Vietnã.
A
seguir estão exemplos de respostas a uma das postagens na página:
A Ascensão dos Infostealers
A
maioria das campanhas que usam páginas falsas e anúncios maliciosos no Facebook
acaba entregando algum tipo de malware para roubo de informações. Em junho de
2023, a CPR e outras empresas de segurança observaram
várias campanhas que distribuem extensões de navegador maliciosas com o
objetivo de roubar informações. Seu alvo principal parece ser os dados
associados a contas do Facebook e o roubo de páginas do Facebook. Parece que os
cibercriminosos estão tentando abusar das páginas existentes de grande público,
incluindo orçamentos de publicidade, portanto, mesmo muitas páginas com grande
alcance podem ser exploradas dessa maneira para disseminar ainda mais o golpe.
Outra
campanha que explora a popularidade das ferramentas de IA usa uma isca
“GoogleAI” para enganar os usuários a baixar os arquivos maliciosos, os quais
contêm malware em um único arquivo de lote, como GoogleAI[.]bat . Da mesma
forma que muitos outros ataques como esse, ele usa uma plataforma de
compartilhamento de código-fonte aberto, desta vez o Gitlab, para recuperar o
próximo estágio:
A
carga útil (payload) final está localizada no script python chamado libb1[.]py
. Este é um ladrão de navegador baseado em python que tenta roubar dados de
login e cookies de todos os principais navegadores, e os dados roubados são
exfiltrados via Telegram:
As
campanhas descritas anteriormente dependem extensivamente de vários serviços
gratuitos e de redes sociais, bem como um conjunto de ferramentas de código
aberto, carecendo de sofisticação significativa.
No
entanto, nem todas as campanhas seguem esse padrão. A Check Point Research descobriu
recentemente muitas campanhas sofisticadas que empregam anúncios do Facebook e
contas comprometidas disfarçadas, entre outras coisas, como ferramentas de IA.
Essas
campanhas avançadas introduzem um novo e oculto robô ladrão, ByosBot, que opera
sob o radar. O malware abusa do dotnet bundle (arquivo único), formato
independente que resulta em detecção estática muito baixa ou nenhuma. O ByosBot
está focado em roubar informações de contas do Facebook, tornando essas
campanhas autossustentáveis ou autoalimentadas: os dados roubados podem ser
posteriormente utilizados para propagar o malware por meio de contas comprometidas
recentemente.
Conclusão
O
crescente interesse público em soluções baseadas em IA levou os agentes de
ameaças a explorar essa tendência, principalmente aqueles que distribuem
infostealers. Esse aumento pode ser atribuído aos mercados clandestinos em
expansão, onde os intermediários (Initial Access Brokers) se especializam em
adquirir e vender acesso ou credenciais para sistemas comprometidos. Além
disso, o crescente valor dos dados usados para ataques direcionados, como
Business E-mail Compromise (BEC) ou comprometimento de e-mail corporativo e
spear-phishing, alimentou a proliferação de infostealers.
Os
serviços autênticos de IA possibilitam que os cibercriminosos criem e
implementem golpes fraudulentos de uma forma muito mais sofisticada e crível.
Portanto, é essencial que indivíduos e organizações se eduquem, estejam cientes
dos riscos e permaneçam atentos contra as táticas dos cibercriminosos. As soluções
avançadas de segurança continuam sendo importantes na proteção contra essas
ameaças em evolução.
Como identificar phishing e falsificação de identidade
Os
ataques de phishing usam truques para convencer a vítima de que são legítimos.
Algumas das maneiras de detectar um ataque de phishing são:
•
Ignorar nomes de exibição: sites ou e-mails de phishing
podem ser configurados para mostrar qualquer coisa no nome de exibição. Em vez
de olhar para o nome de exibição, verifique o e-mail ou o endereço da Web do
remetente para confirmar se ele vem de uma fonte confiável e autêntica.
•
Verifique o domínio: os phishers geralmente usam
domínios com pequenos erros ortográficos ou que parecem plausíveis. Por
exemplo, company[.]com pode ser substituído por cormpany[.]com
ou um e-mail pode ser de company-service[.]com . Procure esses erros
ortográficos, eles são bons indicadores.
•
Sempre baixe o software de fontes confiáveis: os grupos
do Facebook não são a fonte da qual se pode baixar o software para o seu
computador. Vá diretamente para uma fonte confiável, use sua página oficial.
Não clique em downloads provenientes de grupos, fóruns não oficiais, entre
outros.
•
Verifique os links: os ataques de phishing de URL são
projetados para induzir os destinatários a clicarem em um link malicioso. Passe
o mouse sobre os links em um e-mail e veja se eles realmente vão para onde afirmam.
Insira links suspeitos em uma ferramenta de verificação de phishing como
phishtank[.]com, a qual informará se são links de phishing conhecidos. Se
possível, não clique em nenhum link; visite o site da empresa diretamente e
navegue até a página indicada.
Para
mais detalhes e capturas de tela, visite o
blog da Check Point Research (CPR).
 |
| Imagem Ilustrativa - Divulgação Check Point Software |
Check Point Research
Blog
Twitter
Check Point
Twitter
Facebook
Blog
YouTube
LinkedIn
