A Kaspersky descobre uma nova campanha de malware em curso que explora a crescente popularidade das ferramentas de Inteligência Artificial (IA), disfarçando-se de um gerador de voz. O malware utiliza o GitHub para armazenar arquivos protegidos por uma password. Os ficheiros contem data stealers e passwords stealers, permitindo aos cibercriminosos roubar vários tipos de dados, minerar criptomoedas e descarregar software malicioso adicional nos dispositivos.

O malware Gipy tem estado ativo desde meados de 2023 e distingue-se por escolher ferramentas de IA como isco para espalhar malware. Numa campanha recente observada pela Kaspersky, a infeção inicial ocorre quando um utilizador descarrega um ficheiro malicioso de um site de phishing que aparenta ser uma aplicação de IA utilizada para alterar vozes. Estes sites são bem construídos e parecem idênticos aos legítimos. As ligações para os ficheiros maliciosos são frequentemente colocadas em sites comprometidos que executam o WordPress.

Depois de o utilizador clicar no botão “Install”, o download da aplicação legítima é iniciado, mas, em segundo plano, um script executa atividades maliciosas. Durante a sua execução, o Gipy descarrega e lança malware a partir do GitHub, embalado em arquivos ZIP protegidos por password. Os especialistas da Kaspersky analisaram mais de 200 destes arquivos. A maioria dos que estão no GitHub contém o password stealer Lumma. No entanto, também encontraram o Apocalypse ClipBanker, um Crypto-miner Corona modificado, e vários RATs, incluindo o DCRat e o RADXRat. Além disso, descobriram passwords stealers como o RedLine e o RisePro, um stealer baseado em Golang chamado Loli e um backdoor baseado em Golang chamado TrueClient.

As ferramentas de IA trazem benefícios notáveis e revolucionam a nossa vida quotidiana, mas os utilizadores devem manter-se vigilantes. Os cibercriminosos estão a aproveitar o aumento do interesse pela IA para espalhar malware e realizar ataques de phishing. A IA está a ser utilizada como isco há mais de um ano e não esperamos que esta tendência diminua", sublinha Oleg Kupreev, especialista em segurança da Kaspersky.

Os cibercriminosos por detrás do Gipy não mostram uma preferência geográfica particular, tendo como alvo os utilizadores de todo o mundo. Os cinco países mais afetados são a Rússia, o Taiwan, os EUA, a Espanha e a Alemanha.

 

Classifique este item
(0 votos)
Ler 329 vezes
Tagged em
Top