La nuova ondata di malware sfrutta i servizi di AI come esca

da Redazione
0 commenti 2 minuti leggi

Il mondo dellโ€™intelligenza artificiale รจ affascinante e in continuo sviluppo, ma recenti ricerche mostrano come esso possa essere sfruttato da attori minacciosi per diffondere malware. I servizi di AI come OpenAI ChatGPT e Midjourney sono diventati bersagli di campagne di malware BATLOADER che utilizzano annunci Google Search maliziosi per indirizzare gli utenti verso siti web discutibili e distribuire il malware RedLine Stealerใ€17โ€ sourceใ€‘.

Il malware BATLOADER

BATLOADER รจ un malware loader che viene diffuso tramite download drive-by. Gli utenti che cercano determinate parole chiave sui motori di ricerca visualizzano annunci falsi che, se cliccati, li reindirizzano a pagine di destinazione pericolose che ospitano malware.

Il file di installazione, come riferito da eSentire, รจ dotato di un file eseguibile (ChatGPT.exe o midjourney.exe) e uno script PowerShell (Chat.ps1 o Chat-Ready.ps1) che scarica e carica RedLine Stealer da un server remoto.

Camuffamento del malware

Una volta completata lโ€™installazione, il file binario utilizza Microsoft Edge WebView2 per caricare chat.openai[.]com o www.midjourney[.]com โ€“ gli URL legittimi di ChatGPT e Midjourney โ€“ in una finestra pop-up, in modo da non sollevare sospettiใ€23โ€ sourceใ€‘.

Annunci

Lโ€™uso di esche tematiche ChatGPT e Midjourney da parte dellโ€™avversario per servire annunci pubblicitari malevoli e in definitiva rilasciare il malware RedLine Stealer รจ stato evidenziato anche la scorsa settimana da Trend Microใ€25โ€ sourceใ€‘.

Non รจ la prima volta

Questa non รจ la prima volta che gli operatori dietro BATLOADER sfruttano la mania dellโ€™AI per distribuire malware. Nel marzo 2023, eSentire ha dettagliato un insieme simile di attacchi che sfruttavano le esche ChatGPT per distribuire i malware Vidar Stealer e Ursnif.

La societร  di cybersecurity ha inoltre sottolineato che lโ€™abuso di annunci pubblicitari Google Search รจ diminuito rispetto al picco iniziale del 2023, suggerendo che il gigante tecnologico sta prendendo provvedimenti attivi per limitare il suo sfruttamento.

Ultime scoperte

Queste scoperte arrivano poche settimane dopo che Securonix ha scoperto una campagna di phishing denominata OCX#HARVESTER che ha preso di mira il settore delle criptovalute tra dicembre 2022 e marzo 2023 con More_eggs (noto anche come Golden Chickens), un downloader JavaScript utilizzato per servire payload aggiuntivi.

A gennaio, eSentire ha rintracciato lโ€™identitร  di uno deiprincipali operatori del malware-as-a-service (MaaS) a un individuo situato a Montreal, Canada. Il secondo attore minaccioso associato al gruppo รจ stato da allora identificato come un cittadino rumeno che si fa chiamare Jack.

Si puรฒ anche come

MatriceDigitale.it – Copyright ยฉ 2024, Livio Varriale – Registrazione Tribunale di Napoli nยฐ 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love byย Giuseppe Ferrara