Il mondo dell’intelligenza artificiale è affascinante e in continuo sviluppo, ma recenti ricerche mostrano come esso possa essere sfruttato da attori minacciosi per diffondere malware. I servizi di AI come OpenAI ChatGPT e Midjourney sono diventati bersagli di campagne di malware BATLOADER che utilizzano annunci Google Search maliziosi per indirizzare gli utenti verso siti web discutibili e distribuire il malware RedLine Stealer【17†source】.
Il malware BATLOADER
BATLOADER è un malware loader che viene diffuso tramite download drive-by. Gli utenti che cercano determinate parole chiave sui motori di ricerca visualizzano annunci falsi che, se cliccati, li reindirizzano a pagine di destinazione pericolose che ospitano malware.
Il file di installazione, come riferito da eSentire, è dotato di un file eseguibile (ChatGPT.exe o midjourney.exe) e uno script PowerShell (Chat.ps1 o Chat-Ready.ps1) che scarica e carica RedLine Stealer da un server remoto.
Camuffamento del malware
Una volta completata l’installazione, il file binario utilizza Microsoft Edge WebView2 per caricare chat.openai[.]com o www.midjourney[.]com – gli URL legittimi di ChatGPT e Midjourney – in una finestra pop-up, in modo da non sollevare sospetti【23†source】.
L’uso di esche tematiche ChatGPT e Midjourney da parte dell’avversario per servire annunci pubblicitari malevoli e in definitiva rilasciare il malware RedLine Stealer è stato evidenziato anche la scorsa settimana da Trend Micro【25†source】.
Non è la prima volta
Questa non è la prima volta che gli operatori dietro BATLOADER sfruttano la mania dell’AI per distribuire malware. Nel marzo 2023, eSentire ha dettagliato un insieme simile di attacchi che sfruttavano le esche ChatGPT per distribuire i malware Vidar Stealer e Ursnif.
La società di cybersecurity ha inoltre sottolineato che l’abuso di annunci pubblicitari Google Search è diminuito rispetto al picco iniziale del 2023, suggerendo che il gigante tecnologico sta prendendo provvedimenti attivi per limitare il suo sfruttamento.
Ultime scoperte
Queste scoperte arrivano poche settimane dopo che Securonix ha scoperto una campagna di phishing denominata OCX#HARVESTER che ha preso di mira il settore delle criptovalute tra dicembre 2022 e marzo 2023 con More_eggs (noto anche come Golden Chickens), un downloader JavaScript utilizzato per servire payload aggiuntivi.
A gennaio, eSentire ha rintracciato l’identità di uno deiprincipali operatori del malware-as-a-service (MaaS) a un individuo situato a Montreal, Canada. Il secondo attore minaccioso associato al gruppo è stato da allora identificato come un cittadino rumeno che si fa chiamare Jack.