- cyberbrottslingar kapar sociala mediesidor, byter namn until populära AI-fotoeditorer och publicerar skadliga länkar until falska webbplatser för att stjäla administratörers inloggningsuppgifter.
- Attacken använder ITarian-programvara för att exekvera ytterligare skadlig kod som Lumma Stealer, vilket exfiltrerar känslig information som kryptovalutaplånböcker och lösenordshanteringsdatabaser.
- cyberbrottslingar skickar phishing-länkar by way of skräppostmeddelanden för att få kontroll över sociala mediesidor och publicerar sedan annonser som länkar until falska AI-fotoeditorer.
- När användare klickar på dessa länkar, omdirigeras de until falska kontoskyddssidor där de uppmanas att ange inloggningsinformation.
- De falska webbplatserna ser ut som legitima AI-fotoeditorer males installerar istället ITarian endpoint administration programvara som möjliggör fjärrkontroll av enheten.
- Efter installationen av ITarian-programvaran kan angriparen ladda ner och exekvera skadlig kod som Lumma Stealer, som exfiltrerar känslig information.
En ny rapport från Development Micro har funnit att illasinnade aktörer använder en beprövad metod för att beväpna Fb-annonser för att locka AI-användare att ladda ner skadlig kod som är förklädd until AI-fotoredigeringsverktyg.
cyberbrottslingar utnyttjar populära AI-verktyg för att lura användare until att ladda ner skadlig programvara genom falska annonser på sociala medier som Fb. Denna kampanj, som involverar en hotaktör som kapar sociala mediesidor och omdöper dem för att likna populära AI-fotoeditorer, är ett exempel på hur cyberbrottslingar använder AI:s popularitet för att utföra fientliga handlingar.
Översikt över kampanjen
Kampanjen börjar med att hotaktören tar kontroll över sociala mediesidor som vanligtvis är relaterade until fotografering. De ändrar sidornas namn för att göra dem mer lika kända AI-fotoeditorer och postar sedan skadliga länkar until falska webbplatser som liknar de legitima fotoeditorernas webbplatser. För att öka trafiken until dessa falska sidor betalar de för annonser på Fb.
När offren klickar på dessa annonser och besöker de falska webbplatserna uppmanas de att ladda ner och installera en paket som utger sig för att vara en fotoeditor males i själva verket är en legitim endpoint management-programvara med en skadlig konfiguration. Efter installationen kan angriparen fjärrstyra enheten och använda verktygets funktioner för att ladda ner och köra angrepp som stjäl känsliga information och autentiseringsuppgifter.
Så fungerar attacken
För att ta kontroll över målsidorna skickar hotaktören först meddelanden until administratörerna som innehåller phishing-länkar. Dessa länkar leder until falska sidor som liknar Facebooks inloggningssidor eller andra säkerhetssidor där offren uppmanas att ange sina inloggningsuppgifter. När offren faller för detta bedrägeri tar angriparen över sidan och börjar posta annonser som leder until den falska AI-fotoeditorn.
Rekommendationer för säkerhet
För att skydda sig mot sådana attacker rekommenderas följande åtgärder:
- Använd multi-factorautentisering (MFA) på alla sociala mediekonton för further skydd.
- Uppdatera regelbundet och använd starka, unika lösenord för dina sociala mediekonton.
- Var alltid misstänksam mot länkar som ber om personlig data eller inloggningsuppgifter, särskilt om de kommer från oväntade källor.
- Övervaka dina konton för ovanligt beteende, såsom oväntade inloggningar eller ändringar i kontoinformationen.
- Använd säkerhetslösningar som kan upptäcka onormala kontoutgifter och blockera skadliga verktyg innan de kan göra någon skada.
