Киберпрестъпниците публикуват в отвлечените бизнес страници и страници на общността във Facebook реклами, които изглеждат като легитимни спонсорирани реклами и обещават безплатно изтегляне на чатботове с изкуствен интелект, като ChatGPT и Google Bard. Вместо това потребителите изтеглят добре познатия зловреден софтуер за кражба на информация, наречен RedLine Stealer, са установили изследователите.

RedLine Stealer е платформа за зловреден софтуер като услуга (MaaS), продавана чрез онлайн хакерски форуми, която се насочва към браузъри, за да събира различни данни, запаметени от потребителя, включително идентификационни данни и данни за платежни карти, както и да прави инвентаризация на системата, за да оцени повърхността на атаката за извършване на по-нататъшни атаки. Освен кражбата на информация тя може да изпълнява и други злонамерени функции, като например качване и изтегляне на файлове и изпълнение на команди. Това дава на нападателите, дори и с ограничена степен на усъвършенстване, различни възможности за извършване на редица кибератаки, твърдят изследователите от Veriti.

Според доклад, публикуван на 11 април, те са забелязали последната кампания през януари, която има за цел да се възползва от нарастващата популярност на нововъзникващите платформи за изкуствен интелект. След това изследователите са проследили кампанията през нейния пик през март.

„Тези публикации са създадени така, че да изглеждат легитимни, като използват шума около езиковите модели на OpenAI, за да подмамят нищо неподозиращите потребители да изтеглят файловете“, пишат изследователите на Veriti в доклада. „След като потребителят изтегли и екстрахира файла обаче, зловредният софтуер RedLine Stealer се активира и може да открадне пароли и да изтегли допълнителен зловреден софтуер на устройството на потребителя.“

Стоковият зловреден софтуер е вдъхновяващ избор за кампанията, като се има предвид, че закупуването му в Тъмната мрежа струва само 100-150 долара, което дава на нападателите значителна възвръщаемост на инвестициите (ROI) за тяхната киберпрестъпна дейност, казват изследователите.

„Освен това, използвайки бизнес акаунти във Facebook и техните открити пароли, нападателите са могли да се насочат към огромен брой потребители и потенциално да получат достъп до чувствителна информация на сравнително ниска цена“, казва изследователският екип на Veriti пред Dark Reading.

Опасности от троянски приложения с изкуствен интелект

Скоро след като чатботът ChatGPT, базиран на изкуствен интелект, се появи на сцената през ноември, започна да се говори за различните начини, по които нападателите могат да го използват за злонамерени цели. Макар някои да смятат, че тази заплаха се преекспонира, кампанията RedLine може да е знак за още свързани атаки на хоризонта.

Вместо да се възползват от базираните на ИИ възможности на самите чатботове, нападателите тук се възползват от последните разработки в областта на възможността за пакетиране на ИИ в различни форми, което отваря вратата за създаване на троянски изтегляния.

„Един от най-обезпокоителните рискове, свързани с генеративните платформи за ИИ, е възможността за пакетиране на ИИ във файл (напр. като мобилни приложения или като отворен код), което създава идеален повод за злонамерени хакери да измамят наивните изтеглящи потребители“, обясняват изследователите.

В този случай нападателите пакетират RedLine Stealer във файл за изтегляне на OpenAI или Google Bard, което кара нищо неподозиращите потребители да изтеглят зловредния софтуер вместо обещаното приложение за ИИ, което ги е примамило да кликнат върху публикацията, казват изследователите.

„Потенциалното въздействие на подобни атаки е значително, тъй като хакерите могат да откраднат поверителни данни, да компрометират финансови сметки или дори да нарушат функционирането на критична инфраструктура“, пишат те в доклада. „Освен това тези атаки стават все по-сложни, което затруднява тяхното откриване и предотвратяване.“

Десетки бизнес акаунти във Facebook в поне 10 държави вече са били превзети с цел разпространение на RedLine Stealer чрез злонамерени публикации, казват изследователите. Според доклада Гърция е страната, в която нападателите достигат до най-голям брой потребители на Facebook, следвана от Индия, САЩ, Мексико и Бангладеш.

Въпреки това по-голямата част от „топ атаките“ на кампанията са осъществени в САЩ, където са извършени 77% от тях, според доклада. Следващата страна с най-голям процент „топ“ атаки е Канада – 9%, следвана от Мексико (6%), Индия (4%) и Португалия (2%).

Защита на предприятието от злонамерени изтегляния

Veriti препоръчва „всеобхватен подход към киберсигурността“, който включва обучение на служителите за риска от изтегляне и отваряне на файлове от непознати източници, както и „стабилни конфигурации за сигурност“, които да помогнат да се избегне компрометиране на системите на предприятието, ако потребителите по невнимание инсталират на корпоративния десктоп програма за извличане на информация, като Redline.

Една от първите стъпки, които организациите могат да предприемат, е да ограничат изтеглянето на изпълними файлове и да наложат строги политики, които изискват сендбокс за всеки изпълним файл, преди той да бъде изтеглен, казват изследователите. „Това може значително да намали риска от заразяване на системата със зловредни файлове“, казват те пред Dark Reading.

Освен това деактивирането на ексфилтрацията на данни може да попречи на нападателите да откраднат чувствителна информация, а активирането на антималуер може да открие и премахне зловредните файлове, преди те да могат да причинят някакви щети, казват изследователите.

Изследователите обаче отбелязват, че всички мерки за обучение на служителите или за определяне на политики за файловете, изтеглени от интернет, „трябва да допълват съществуващите защити за киберсигурност на организацията, като защитни стени, системи за откриване и предотвратяване на прониквания и редовни актуализации на сигурността“.

Екипът добавя: „Организациите могат значително да намалят вероятността от успешна атака, като прилагат тези най-добри практики и обучават служителите за рисковете.“