Check Point Software Technologies, přední světový poskytovatel kyberbezpečnostních řešení, varuje před novým trikem kyberpodvodníků. Na Facebooku se uživatelům zobrazují sponzorované příspěvky, které lákají na informace o AI službách, ve skutečnosti je to ale jen trik, jak přimět nepozorné oběti ke stažení nebezpečných souborů. Kyberzločinci využívají nové stránky, ale i stránky s obrovským množstvím fanoušků, a lákají na poutavý obsah. Jakmile uživatel klikne na škodlivý odkaz a stáhne malware, hrozí krádeže hesel a dalších citlivých informací.
Většina podvodů nabízí tipy, novinky a „vylepšené“ verze AI služeb Google Bard nebo ChatGPT:
Výše je jen ukázka několika málo příspěvků. Narazit můžete na množství dalších mutací, jako jsou příspěvky od Bard New, Bard Chat, GPT-5, G-Bard AI a mnoha dalších. Některé příspěvky a skupiny se snaží využít i popularity dalších AI služeb, jako je třeba Midjourney:
V řadě případů lákají kyberzločinci i na další AI služby a nástroje. Jednou z největších stránek, s více než 2 miliony fanoušků, která parazituje na značce Jasper AI je Jasper.ai. I to ukazuje, jak drobné detaily mohou hrát důležitou roli a znamenat rozdíl mezi legitimní službou a podvodem.
Uživatelé často nemají tušení, že se jedná o podvody, a tak pod příspěvky vášnivě diskutují o roli umělé inteligence a příspěvky likují nebo dále sdílí.
„Alarmující je, že pro šíření podvodů jsou využívány facebookové stránky, které mají desetitisíce, statisíce a v některých případech i miliony fanoušků. Řada lidí potom může mít dojem, že jde o legitimní obsah. Mnoho stránek přitom existuje již dlouho. Jen dříve byly používány ke sdílení nejrůznějších citátů, motivačních obrázků, fotek z cest, zvířátek nebo politické agendy, tedy obsahu, na který řada lidí ráda reaguje. Ale pomocí podvodně ukrytého malwaru mohou útočníci stránky ukrást a zneužít je k další propagaci škodlivého obsahu. Podvodníci také často původní stránky různě přejmenovávají,“ říká Daniel Šafář, Area Manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies.
„Kyberzločinci většinou používají scénář, ve kterém se snaží nalákat uživatele k návštěvě legitimně a kvalitně vyhlížející webové stránky, kde stačí kliknout na tlačítko a stáhnout novou verzi umělé inteligence. Řada stránek vypadá velmi podobně, některé jsou ovšem poměrně kreativní, každopádně všechny vypadají vizuálně zajímavě, aby vzbudily pozornost a přesvědčily návštěvníky ke kliknutí. Ale místo AI služby se stáhne nebezpečný soubor,“ upozorňuje Daniel Šafář.
Kyberzločinci vynakládají velké úsilí, aby podvody vypadaly důvěryhodně. Když uživatel vyhledá na Facebooku „Midjourney AI“, najde stránku s 1,2 miliony sledujícími, takže pravděpodobně uvěří, že se jedná o autentickou stránku.
Foto: Se souhlasem Check Point
Pokud mají příspěvky mnoho lajků a komentářů, znamená to, že ostatní uživatelé na obsah reagovali, což v očích mnoha lidí dále zvyšuje důvěryhodnost.
Jak podvod probíhá?
Hlavním cílem této falešné facebookové stránky Mid-Journey AI, stejně jako mnoha dalších, je přimět uživatele ke stažení malwaru. Aby vše působilo ještě důvěryhodněji, jsou odkazy na škodlivé webové stránky kombinovány s odkazy na legitimní recenze Midjourney nebo na sociální sítě.
První odkaz vede na ai-midjourney[.]net, kde je pouze tlačítko Začít.
Jakmile uživatel na tlačítko klikne, je přesměrován na další podvodnou stránku midjourneys[.]info, která nabízí ke stažení Midjourney AI zdarma na 30 dní. Ve skutečnosti uživatel ale stáhne soubor MidJourneyAI.rar z Gofile, bezplatné platformy pro sdílení a ukládání souborů. „Některé podvody se dokonce ani nenamáhají přesměrovat uživatele na podvodný web, ale hned ve facebookovém příspěvku nabízí odkaz, který okamžitě začne stahovat nebezpečný soubor,“ dodává Daniel Šafář z kyberbezpečnostní společnosti Check Point Software Technologies.
Místo MidJourney si ovšem oběť stáhne nebezpečný soubor Mid-Journey_Setup.exe s malwarem Doenerium, který krade data a informace. Malware se uloží, včetně všech pomocných souborů, do složky TEMP.
Jakmile je malware v počítači, odešle útočníkům na Discord zprávu „Nová oběť“ s popisem nově infikovaného počítače, včetně jeho názvu, verze operačního systému, paměti RAM, doby provozu a konkrétní cesty, ze které byl malware spuštěn. Tyto informace umožňují kyberzočincům přesně rozeznat, který podvod byl v tomto případě úspěšný.
Malware krade nejrůznější informace, včetně cookie, záložek, historie prohlížení a hesel. Zaměřuje se také na kryptoměnové peněženky, včetně Zcash, Bitcoin, Ethereum a dalších, ale cílí i na přihlašovací údaje z různých sociálních a herních platforem.
Jakmile jsou všechna data z cílového počítače ukradena, jsou uložena do jednoho archivu a nahrána na platformu pro sdílení souborů Gofile:
Následně infostealer odešle na Discord zprávu „Infikováno“, která obsahuje podrobnosti o ukradených datech a odkaz na archiv. Většinu komentářů na falešné stránce vytvářejí boti s vietnamskými jmény a výchozím jazykem chatu je vietnamština, z čehož lze usuzovat, že se jedná o vietnamské hackery.
Většina kampaní zneužívajících facebookové stránky a škodlivé reklamy šíří nějaký druh zlodějského malwaru. Check Point také odhalil, že některé kampaně využívají sofistikovaný zlodějský malware ByosBot, který je velmi těžké odhalit. Jedním z jeho cílů jsou informace o facebookových účtech a krádeže facebookových stránek. Zdá se, že kyberzločinci se snaží zneužít existující stránky s velkým počtem uživatelů, včetně reklamních rozpočtů, takže mnoho stránek s velkým dosahem by mohlo být tímto způsobem zneužito k dalšímu šíření podvodu.
S ukradenými daty, stránkami, napadenými systémy a přihlašovacími údaji se také aktivně obchoduje na darknetu, což nebezpečnost podvodů ještě násobí.
Zvýšený zájem o umělou inteligenci útočníkům nahrává, navíc AI technologie umožňují vytvářet podvody mnohem sofistikovanějším a věrohodnějším způsobem. Proto je nezbytné se vzdělávat a znát rizika a taktiky kyberzločinců. Pro ochranu nejnovějšími triky podvodníků je důležité používat také pokročilá bezpečnostní řešení.
Zdroj: Check Point