Sommario
Il mondo dellโintelligenza artificiale รจ affascinante e in continuo sviluppo, ma recenti ricerche mostrano come esso possa essere sfruttato da attori minacciosi per diffondere malware. I servizi di AI come OpenAI ChatGPT e Midjourney sono diventati bersagli di campagne di malware BATLOADER che utilizzano annunci Google Search maliziosi per indirizzare gli utenti verso siti web discutibili e distribuire il malware RedLine Stealerใ17โ sourceใ.
Il malware BATLOADER
BATLOADER รจ un malware loader che viene diffuso tramite download drive-by. Gli utenti che cercano determinate parole chiave sui motori di ricerca visualizzano annunci falsi che, se cliccati, li reindirizzano a pagine di destinazione pericolose che ospitano malware.
Il file di installazione, come riferito da eSentire, รจ dotato di un file eseguibile (ChatGPT.exe o midjourney.exe) e uno script PowerShell (Chat.ps1 o Chat-Ready.ps1) che scarica e carica RedLine Stealer da un server remoto.
Camuffamento del malware
Una volta completata lโinstallazione, il file binario utilizza Microsoft Edge WebView2 per caricare chat.openai[.]com o www.midjourney[.]com โ gli URL legittimi di ChatGPT e Midjourney โ in una finestra pop-up, in modo da non sollevare sospettiใ23โ sourceใ.
Lโuso di esche tematiche ChatGPT e Midjourney da parte dellโavversario per servire annunci pubblicitari malevoli e in definitiva rilasciare il malware RedLine Stealer รจ stato evidenziato anche la scorsa settimana da Trend Microใ25โ sourceใ.
Non รจ la prima volta
Questa non รจ la prima volta che gli operatori dietro BATLOADER sfruttano la mania dellโAI per distribuire malware. Nel marzo 2023, eSentire ha dettagliato un insieme simile di attacchi che sfruttavano le esche ChatGPT per distribuire i malware Vidar Stealer e Ursnif.
La societร di cybersecurity ha inoltre sottolineato che lโabuso di annunci pubblicitari Google Search รจ diminuito rispetto al picco iniziale del 2023, suggerendo che il gigante tecnologico sta prendendo provvedimenti attivi per limitare il suo sfruttamento.
Ultime scoperte
Queste scoperte arrivano poche settimane dopo che Securonix ha scoperto una campagna di phishing denominata OCX#HARVESTER che ha preso di mira il settore delle criptovalute tra dicembre 2022 e marzo 2023 con More_eggs (noto anche come Golden Chickens), un downloader JavaScript utilizzato per servire payload aggiuntivi.
A gennaio, eSentire ha rintracciato lโidentitร di uno deiprincipali operatori del malware-as-a-service (MaaS) a un individuo situato a Montreal, Canada. Il secondo attore minaccioso associato al gruppo รจ stato da allora identificato come un cittadino rumeno che si fa chiamare Jack.