Търсене
Close this search box.

RedLine Stealer зад реклами на ChatGPT и Google Bard във Facebook

Киберпрестъпниците публикуват в отвлечените бизнес страници и страници на общността във Facebook реклами, които изглеждат като легитимни спонсорирани реклами и обещават безплатно изтегляне на чатботове с изкуствен интелект, като ChatGPT и Google Bard. Вместо това потребителите изтеглят добре познатия зловреден софтуер за кражба на информация, наречен RedLine Stealer, са установили изследователите.

RedLine Stealer е платформа за зловреден софтуер като услуга (MaaS), продавана чрез онлайн хакерски форуми, която се насочва към браузъри, за да събира различни данни, запаметени от потребителя, включително идентификационни данни и данни за платежни карти, както и да прави инвентаризация на системата, за да оцени повърхността на атаката за извършване на по-нататъшни атаки. Освен кражбата на информация тя може да изпълнява и други злонамерени функции, като например качване и изтегляне на файлове и изпълнение на команди. Това дава на нападателите, дори и с ограничена степен на усъвършенстване, различни възможности за извършване на редица кибератаки, твърдят изследователите от Veriti.

Според доклад, публикуван на 11 април, те са забелязали последната кампания през януари, която има за цел да се възползва от нарастващата популярност на нововъзникващите платформи за изкуствен интелект. След това изследователите са проследили кампанията през нейния пик през март.

„Тези публикации са създадени така, че да изглеждат легитимни, като използват шума около езиковите модели на OpenAI, за да подмамят нищо неподозиращите потребители да изтеглят файловете“, пишат изследователите на Veriti в доклада. „След като потребителят изтегли и екстрахира файла обаче, зловредният софтуер RedLine Stealer се активира и може да открадне пароли и да изтегли допълнителен зловреден софтуер на устройството на потребителя.“

Стоковият зловреден софтуер е вдъхновяващ избор за кампанията, като се има предвид, че закупуването му в Тъмната мрежа струва само 100-150 долара, което дава на нападателите значителна възвръщаемост на инвестициите (ROI) за тяхната киберпрестъпна дейност, казват изследователите.

„Освен това, използвайки бизнес акаунти във Facebook и техните открити пароли, нападателите са могли да се насочат към огромен брой потребители и потенциално да получат достъп до чувствителна информация на сравнително ниска цена“, казва изследователският екип на Veriti пред Dark Reading.

Опасности от троянски приложения с изкуствен интелект

Скоро след като чатботът ChatGPT, базиран на изкуствен интелект, се появи на сцената през ноември, започна да се говори за различните начини, по които нападателите могат да го използват за злонамерени цели. Макар някои да смятат, че тази заплаха се преекспонира, кампанията RedLine може да е знак за още свързани атаки на хоризонта.

Вместо да се възползват от базираните на ИИ възможности на самите чатботове, нападателите тук се възползват от последните разработки в областта на възможността за пакетиране на ИИ в различни форми, което отваря вратата за създаване на троянски изтегляния.

„Един от най-обезпокоителните рискове, свързани с генеративните платформи за ИИ, е възможността за пакетиране на ИИ във файл (напр. като мобилни приложения или като отворен код), което създава идеален повод за злонамерени хакери да измамят наивните изтеглящи потребители“, обясняват изследователите.

В този случай нападателите пакетират RedLine Stealer във файл за изтегляне на OpenAI или Google Bard, което кара нищо неподозиращите потребители да изтеглят зловредния софтуер вместо обещаното приложение за ИИ, което ги е примамило да кликнат върху публикацията, казват изследователите.

„Потенциалното въздействие на подобни атаки е значително, тъй като хакерите могат да откраднат поверителни данни, да компрометират финансови сметки или дори да нарушат функционирането на критична инфраструктура“, пишат те в доклада. „Освен това тези атаки стават все по-сложни, което затруднява тяхното откриване и предотвратяване.“

Десетки бизнес акаунти във Facebook в поне 10 държави вече са били превзети с цел разпространение на RedLine Stealer чрез злонамерени публикации, казват изследователите. Според доклада Гърция е страната, в която нападателите достигат до най-голям брой потребители на Facebook, следвана от Индия, САЩ, Мексико и Бангладеш.

Въпреки това по-голямата част от „топ атаките“ на кампанията са осъществени в САЩ, където са извършени 77% от тях, според доклада. Следващата страна с най-голям процент „топ“ атаки е Канада – 9%, следвана от Мексико (6%), Индия (4%) и Португалия (2%).

Защита на предприятието от злонамерени изтегляния

Veriti препоръчва „всеобхватен подход към киберсигурността“, който включва обучение на служителите за риска от изтегляне и отваряне на файлове от непознати източници, както и „стабилни конфигурации за сигурност“, които да помогнат да се избегне компрометиране на системите на предприятието, ако потребителите по невнимание инсталират на корпоративния десктоп програма за извличане на информация, като Redline.

Една от първите стъпки, които организациите могат да предприемат, е да ограничат изтеглянето на изпълними файлове и да наложат строги политики, които изискват сендбокс за всеки изпълним файл, преди той да бъде изтеглен, казват изследователите. „Това може значително да намали риска от заразяване на системата със зловредни файлове“, казват те пред Dark Reading.

Освен това деактивирането на ексфилтрацията на данни може да попречи на нападателите да откраднат чувствителна информация, а активирането на антималуер може да открие и премахне зловредните файлове, преди те да могат да причинят някакви щети, казват изследователите.

Изследователите обаче отбелязват, че всички мерки за обучение на служителите или за определяне на политики за файловете, изтеглени от интернет, „трябва да допълват съществуващите защити за киберсигурност на организацията, като защитни стени, системи за откриване и предотвратяване на прониквания и редовни актуализации на сигурността“.

Екипът добавя: „Организациите могат значително да намалят вероятността от успешна атака, като прилагат тези най-добри практики и обучават служителите за рисковете.“

Източник: DARKReading

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...

Всичко за Закона за онлайн безопасността на дец...

За последен път Конгресът прие закон за защита на децата в интернет...
Бъдете социални
Още по темата
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
23/07/2024

Грешки в киберсигурността н...

В днешните забързани организации крайните потребители...
23/07/2024

САЩ налагат санкции на руск...

Правителството на САЩ наложи санкции на...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!