Киберпреступники активно используют платформу для создания веб-сайтов на базе искусственного интеллекта под названием Lovable, чтобы разрабатывать фишинговые страницы для кражи учетных данных и распространения вредоносного программного обеспечения. Согласно исследованию компании Proofpoint, с февраля 2025 года ежемесячно обнаруживаются десятки тысяч подозрительных URL-адресов, связанных с этой платформой. Это свидетельствует о том, что технология снижает барьер входа для цифровой преступности, позволяя злоумышленникам быстро создавать убедительные поддельные сайты.
Описание
Lovable - это удобный инструмент, который позволяет пользователям создавать и размещать сайты, используя текстовые подсказки на естественном языке. Сервис бесплатен для ограниченного использования, однако бесплатные аккаунты имеют открытый доступ, что позволяет другим пользователям копировать и изменять созданные проекты. Платные подписчики могут убрать идентификацию Lovable, использовать собственные домены и сделать проекты приватными. Именно эти возможности привлекли внимание злоумышленников.
Proofpoint зафиксировала несколько масштабных кампаний, использующих Lovable. В феврале 2025 года была выявлена атака с рассылкой сотен тысяч писем от имени сервисов обмена файлами. Сообщения содержали ссылки на lovable[.]app, которые вели на страницы с CAPTCHA, а затем перенаправляли на фишинговые сайты, имитирующие вход в Microsoft. Эти страницы использовали механизм Adversary-in-the-Middle через платформу Tycoon Phishing-as-a-Service для перехвата учетных данных, токенов MFA и cookies.
В июне 2025 года злоумышленники создали поддельный сайт UPS, используя шаблон "ups-flow-harvester" на Lovable. Сайт собирал личные данные и реквизиты банковских карт, включая коды SMS, и отправлял их в Telegram-канал. Аналогичные схемы применялись для кражи данных банковских клиентов и криптовалютных кошельков. Например, почти 10 000 писем маскировались под платформу Aave, перенаправляя жертв на сайты, предназначенные для слива средств.
Кроме того, в конце июля 2025 года исследователи обнаружили кампанию на немецком языке, где Lovable использовался для имитации легитимного сайта загрузки. При нажатии на кнопку загрузки пользователи получали исполняемый файл, который sideload-ил троянизированную DLL и запускал удаленный доступ через zgRAT.
Эксперты отмечают, что инструменты на базе ИИ, такие как Lovable, значительно упрощают создание социального инжиниринга, снижая требования к техническим навыкам преступников. Это позволяет им уделять больше внимания разработке сложных цепочек атак и интеграции вредоносных функций. В то время как некоторые ИИ-сервисы, like ChatGPT, отказываются генерировать malicious-контент, другие платформы остаются уязвимыми для злоупотреблений.
Индикаторы компрометации
IPv4 Port Combinations
- 84.32.41.163:7705
URLs
- http://lexware-invoice-deutsch-popup.lovable.app/
- http://www.dropbox.com/scl/fi/i6n7wcxpfi366wn46qngu/DE0019902001000RE.rar?rlkey=ec07od5o0p41q02cq7e3kp5iq&st=7k1wp1ao&dl=1
- https://33eq8.oquvzop.es/CFTvqhHpUgs@x/
- https://aave-reward-notification.lovable.app/
- https://app-54124296d32502.lovable.app/
- https://captcha-office-redirect.lovable.app/
- https://reward-aave.us/web3/
- https://ups-flow-harvester.lovable.app/
