Угрозы, связанные с искусственным интеллектом, продолжают эволюционировать, и злоумышленники активно используют популярные названия ИИ-сервисов для распространения вредоносного ПО. Одним из последних примеров стал троян SoraAI, маскирующийся под видеогенератор Sora от OpenAI. Этот вредоносный софт распространяется через поддельные репозитории на GitHub и крадет конфиденциальные данные жертв, включая пароли, банковские реквизиты и файлы.
Описание
Первые случаи заражения были зафиксированы во Вьетнаме 21 мая 2025 года, но с тех пор троян был обнаружен и в других странах. Атака начинается с файла-ярлыка SoraAI.lnk, который при запуске инициирует цепочку вредоносных действий. Через скрытый PowerShell-процесс загружается скрипт с GitHub, который затем скачивает и запускает дополнительные вредоносные файлы.
Финальная стадия атаки включает выполнение Python-скрипта, который собирает данные браузеров (Chrome, Firefox, Opera и других), системную информацию, файлы с компьютера и даже данные криптокошельков. Вся украденная информация упаковывается в ZIP-архив и отправляется злоумышленникам через Telegram-бота или файлообменник GoFile.io.
Эксперты по кибербезопасности рекомендуют пользователям соблюдать осторожность при скачивании файлов, особенно с подозрительных ресурсов, и использовать надежные антивирусные решения для защиты от подобных угроз. В условиях растущей цифровизации критически важно уметь отличать легальные сервисы от мошеннических и своевременно обновлять средства защиты.
Индикаторы компрометации
URLs
- http://github.com/ArimaTheH/a/raw/refs/heads/main/f.zip
MD5
- 596c75805be5ad3b44a0aafa9e94dfc2
- 8358af316acdfd449d9e9f78ffc57500
- 9babde0dd32c1ab24efb2c4d25bd0b10
- be13272715927422332a14dbfe32cff7
- d4b1f86b0d722935bda299d37f7a2663
- ed38e7c7e54b87841bdb013203ebf01b
