Киберпреступники используют фейковые AI-сайты для распространения вредоносного ПО

Атака начинается с рекламных объявлений в социальных сетях, включая Facebook и LinkedIn. Эти объявления имитируют популярные AI-инструменты, такие как Luma AI и Canva Dream Lab, и направляют пользователей на поддельные веб-сайты. По данным исследователей, только в странах ЕС эти объявления увидели более 2,3 миллиона пользователей.

После перехода по ссылке жертве предлагают создать видео с помощью "инновационного AI-инструмента". Независимо от действий пользователя, система инициирует загрузку ZIP-архива с вредоносным содержимым. Особенностью атаки является использование файлов с двойным расширением, например ".mp4⠀⠀.exe", где расширение .exe скрыто с помощью специальных пробельных символов.

Основной вредоносный компонент, получивший название STARKVEIL, написан на языке Rust. При первом запуске он извлекает дополнительные компоненты в системную папку C:\winsystem. При повторном запуске активируется сложная цепочка заражения, включающая:

• Использование легитимного Python-интерпретатора для выполнения обфусцированного кода
• Применение техники DLL-подмены (sideloading) для загрузки вредоносных библиотек
• Создание точек автозапуска в реестре Windows для обеспечения постоянного присутствия

В ходе атаки на зараженную систему устанавливаются три основных вредоносных модуля. GRIMPULL действует как загрузчик, использующий Tor-соединение для связи с командным сервером и загрузки дополнительных модулей. XWORM представляет собой многофункциональный бэкдор, который собирает учетные данные, данные кредитных карт и информацию из браузеров, передавая их злоумышленникам через Telegram API. FROSTRIFT специализируется на сборе информации о системе, установленных приложениях и криптовалютных кошельках.

Особую опасность представляет способность вредоносного ПО обходить системы защиты. GRIMPULL включает комплексные проверки на наличие виртуальных машин и средств анализа, а XWORM использует сложные алгоритмы шифрования для защиты передаваемых данных.

Эксперты по безопасности рекомендуют пользователям проявлять особую осторожность при переходе по ссылкам из рекламных объявлений, особенно предлагающих новые технологии. Важно проверять доменные имена сайтов и избегать загрузки файлов с подозрительными расширениями. Компаниям советуют обновлять системы защиты конечных точек и обучать сотрудников основам кибергигиены.

Группировка UNC6032 продолжает активно развивать свои методы атак, регулярно обновляя домены и вредоносные компоненты. Исследователи ожидают дальнейшего роста подобных кампаний, эксплуатирующих интерес к технологиям искусственного интеллекта.

Domains

• adobe-express.com
• aikling.ai
• ai-kling.com
• aisoraplus.com
• boostcreatives.ai
• boostcreatives-ai.com
• canvadreamlab.ai
• canvadreamlab.com
• canvadream-lab.com
• canva-dreamlab.com
• canvaproai.com
• capcutproai.com
• creativepro.ai
• creativepro-ai.com
• creativespro-ai.com
• dreamai-luma.com
• klings-ai.com
• klingxai.com
• lumaaidream.com
• lumaai-dream.com
• luma-aidream.com
• lumaai-lab.com
• lumaailabs.com
• lumaai-labs.com
• luma-dream.com
• luma-dreamai.com
• luma-dreammachine.com
• lumalabsai.in
• quirkquestai.com

Domain Port Combinations

• artisanaqua.ddnsking.com:25699
• strokes.zapto.org:56001
• strokes.zapto.org:7789

SHA256

• 1a037da4103e38ff95cb0008a5e38fd6a8e7df5bc8e2d44e496b7a5909ddebeb
• 4982a33e0c2858980126b8279191cb4eddd0a35f936cf3eda079526ba7c76959
• 839260ac321a44da55d4e6a5130c12869066af712f71c558bd42edd56074265b
• 8863065544df546920ce6189dd3f99ab3f5d644d3d9c440667c1476174ba862b
• 8d2c9c2b5af31e0e74185a82a816d3d019a0470a7ad8f5c1b40611aa1fd275cc
• a0e75bd0b0fa0174566029d0e50875534c2fcc5ba982bd539bdeff506cae32d3
• d3f50dc61d8c2be665a2d3933e2668448edc31546fea84517f8e61237c6d2e5d
• dcb1e9c6b066c2169928ae64e82343a250261f198eb5d091fd7928b69ed135d3
• e663c1ba289d890a74e33c7e99f872c9a7b63e385a6a4af10a856d5226c9a822