Эксперты Cisco Talos выявили три опасные кампании, в которых злоумышленники распространяют вредоносное ПО под видом легитимных ИИ-инсталляторов. Рансомвей CyberLock, Lucky_Gh0$t и деструктор Numero атакуют бизнес через фейковые сайты (например, novaleadsai[.]com), SEO-отравление и мессенджеры. Целями стали компании из сфер B2B-продаж, маркетинга и IT.
Описание
CyberLock: Рансомвей с "благотворительным" прикрытием
Загружаемый с поддельного сайта .NET-лоадер "NovaLeadsAI.exe" запускает PowerShell-скрипт, повышающий привилегии до админских. Он шифрует файлы (документы, базы данных, медиа) через AES, добавляя расширение .cyberlock, оставляет записку с требованием $50 000 в Monero. Для маскировки злоумышленники утверждают, что выкуп пойдет на помощь Украине, Палестине и странам Азии, но в коде нет следов эксфильтрации данных. После атаки вредонос меняет обои на изображение из блога кибербезопасности и стирает следы легитимным cipher.exe /w.
Lucky_Gh0$t: "Премиум-версия" ChatGPT с разрушением данных
Самораспаковывающийся архив "ChatGPT 4.0 full version - Premium.exe" содержит легитимные Microsoft AI-утилиты и вредоносный dwn.exe (вариант Yashma-рансомвея). Он шифрует файлы до 1.2 ГБ через AES+RSA с случайным 4-символьным расширением, а для крупных файлов заменяет содержимое на "?" и удаляет оригиналы. Для связи с жертвами использует мессенджер getsession[.]org.
Numero: Фейковый видеоредактор, парализующий Windows
Поддельный установщик InVideo AI запускает пакетный файл, который в бесконечном цикле выполняет вредонос wintitle.exe. Он проверяет наличие анализаторов (IDA, OllyDbg), а затем манипулирует GUI Windows: перехватывает окна через GetDesktopWindow и заменяет все текстовые элементы на цифры "1234567890", делая систему полностью неработоспособной.
Ключевые риски
Злоумышленники активно используют SEO-отравление, выводя фейковые сайты в топ поиска. CyberLock эксплуатирует легитимный cipher.exe для сокрытия следов, Lucky_Gh0$t маскируется под Azure-инструменты, а Numero реализует устойчивую атаку через цикл перезапуска. Технологические стартапы и маркетинговые агентства – основные мишени из-за активного внедрения ИИ.
Рекомендации
Проверяйте домены установщиков (novaleadsai[.]com ≠ novaleads.app), блокируйте SFX-архивы из непроверенных источников, отключайте выполнение PowerShell-скриптов. Для Numero критичен мониторинг аномальной активности cscript.exe и процессов, изменяющих GUI.
Cisco Talos подчеркивает: обучение сотрудников верификации софта и песочницы для тестирования - обязательные меры защиты.
Индикаторы компрометации
SHA256
- 07d73f4822549af4ec61d16ed366133dae1733ce1d6ad0a27fc80c94956abc51
- 2381929126d3eb17402d77103f6e07a272a6fad54ec64225a6d5e1f31ff057ac
- 25f863c6190b727c45b762b70091a8d8f6cb98ff44db05044ba76a46d3c17a3d
- 507103bf93e50a8b7b2944c402f1403402e2f607930fa7822bb64236c1fba23a
- 6ccaef03dcab293d23494070aacfd4b94d7defd14af39dc543f2f551846e9d50
- 7de095a011a3dcd48f806dcb6a48d5262e06bec2d63d828b85436f79c83bcd70
- e019c6f094965c3bccc0a7ba09bfb09c4ff7059795da5b66b6e7a7c0ac8ef7ef
- e1c4603d8354bb53e9ba93b860db6ae853d64bce0fe25a37033bfe260ea63f23
