Os cibercriminosos seguem tentando novas formas de roubar informações privadas. Um novo golpe descoberto pelos pesquisadores da Check Point Research, divisão de Inteligência em Ameaças da Check Point Software Technologies Ltd., usa o Facebook para enganar as pessoas com o objetivo de roubar suas senhas e seus dados privados, aproveitando o interesse por aplicativos populares de IA generativa.
Primeiro, os cibercriminosos criam páginas ou grupos falsos no Facebook para uma marca popular, incluindo conteúdo atrativo. A pessoa desavisada comenta ou curte o conteúdo, garantindo assim que ele apareça nos feeds de seus amigos. A página falsa oferece um novo serviço ou conteúdo especial por meio de um link. Mas, quando o usuário clica no link, ele inadvertidamente baixa um malware projetado para roubar suas senhas online, carteiras de criptomoedas e outras informações salvas em seu navegador.
“Os cibercriminosos estão ficando mais espertos. Eles sabem que todos estão interessados em IA generativa e estão usando páginas e anúncios do Facebook para representar ChatGPT, Google Bard, Midjourney e Jasper. Infelizmente, milhares de pessoas estão sendo vítimas desse golpe. Eles estão interagindo com as páginas falsas, o que aumenta sua disseminação – e até mesmo instalando malware disfarçado de ferramentas gratuitas de IA. Todos nós precisamos ficar atentos para garantir que estão baixando apenas arquivos de sites autênticos e confiáveis”, alerta Sergey Shykevich, gerente do grupo de Inteligência de Ameaças da Check Point Research (CPR).
Muitas das páginas falsas oferecem dicas, notícias e versões aprimoradas dos serviços de IA de Google Bard ou ChatGPT. Existem muitas versões do Bard New, Bard Chat, GPT-5, G-Bard AI e outros. Algumas postagens e grupos também tentam aproveitar a popularidade de outros serviços de IA, como o Midjourney.
Em muitos casos, os cibercriminosos também atraem os usuários para outros serviços e ferramentas de IA. Outra grande marca de IA, com mais de 2 milhões de fãs, que é representada por cibercriminosos é a Jasper AI. Isso também mostra como pequenos detalhes podem desempenhar um papel importante e significar a diferença entre um serviço legítimo e uma fraude.
Os usuários geralmente não têm ideia de que são golpes. Na verdade, eles estão discutindo apaixonadamente o papel da IA nos comentários e curtindo/compartilhando as postagens, o que amplia ainda mais seu alcance.
A maioria dessas páginas do Facebook leva a outras de destino de tipo semelhante, que incentivam os usuários a baixarem arquivos protegidos por senha que supostamente estão relacionados a mecanismos de IA generativos.
Estudo de caso: página falsa do Midjourney AI
Os agentes de ameaças por trás de certas páginas maliciosas do Facebook fazem de tudo para garantir que pareçam autênticas, reforçando a aparente credibilidade social. Quando um usuário desavisado pesquisa por “Midjourney AI” no Facebook, e encontra uma página com 1,2 milhão de seguidores, é provável que acredite que seja uma página autêntica.
O mesmo princípio se aplica a outros indicadores de legitimidade da página: quando as postagens na página falsa têm inúmeras curtidas e comentários, isso indica que outros usuários já interagiram positivamente com o conteúdo, diminuindo a probabilidade de suspeita.
O objetivo principal dessa página falsa do Facebook do Mid-Journey AI é induzir os usuários a baixarem malware. Para dar um ar de credibilidade, os links para sites maliciosos são misturados com links para avaliações legítimas do Midjourney ou redes sociais.
O primeiro link, ai[-]midjourney[.]net, possui apenas um botão Get Started. Esse botão eventualmente redireciona para o segundo site falso, midjourneys[.]info, que oferece o download do Midjourney AI grátis por 30 dias. Quando o usuário clica no botão, ele realmente baixa um arquivo chamado MidJourneyAI[.]rar do Gofile, uma plataforma gratuita de armazenamento e compartilhamento de arquivos.
Assim que o download termina, a vítima que espera ter baixado o instalador legítimo do MidJourney é induzida a executar um arquivo malicioso chamado Mid-Journey_Setup[.]exe . Esse arquivo de configuração falso fornece Doenerium, um infostealer de código aberto, que foi observado em vários outros golpes, com o objetivo final de coletar os dados pessoais das vítimas.
O malware usa vários serviços legítimos, como Github, Gofile e Discord, como meio de comando e controle de comunicação e exfiltração de dados. Assim, a conta do Github antivirusevasion69 é usada pelo malware para entregar o webhook do Discord, que é usado para relatar todas as informações roubadas da vítima ao canal Discord do atacante.
Primeiro, o malware despacha uma mensagem de “Nova vítima” para o Discord, fornecendo uma descrição da máquina infectada recentemente. A descrição inclui detalhes como o nome do PC, versão do sistema operacional, RAM, tempo de atividade e o caminho específico a partir do qual o malware foi executado. Essas informações permitem que o atacante saiba com precisão qual golpe ou isca levou à instalação do malware.
O malware se esforça para coletar vários tipos de informações de todos os principais navegadores, incluindo cookies, favoritos, histórico de navegação e senhas. Além disso, ele visa carteiras de criptomoedas, incluindo Zcash, Bitcoin, Ethereum e outras; e o malware ainda rouba credenciais de FTP do Filezilla e sessões de várias plataformas sociais e de jogos.
Depois que todos os dados são roubados da máquina de destino, eles são consolidados em um único arquivo e carregados na plataforma de compartilhamento de arquivos Gofile. Posteriormente, o infostealer envia uma mensagem “Infectado” para Discord, contendo detalhes organizados sobre os dados que extraiu com sucesso da máquina com um link para acessar o arquivo contendo as informações roubadas.
É interessante mencionar que a maioria dos comentários na página falsa do Facebook são feitos por bots com nomes vietnamitas, e o idioma de bate-papo padrão em um site falso do MidJourney é vietnamita. Isso nos permite avaliar com confiança baixa a média que esta campanha é executada por um agente de ameaças afiliado ao Vietnã.
A Ascensão dos Infostealers
A maioria das campanhas que usam páginas falsas e anúncios maliciosos no Facebook acaba entregando algum tipo de malware para roubo de informações. Em junho de 2023, a CPR e outras empresas de segurança observaram várias campanhas que distribuem extensões de navegador maliciosas com o objetivo de roubar informações.
Seu alvo principal parece ser os dados associados a contas do Facebook e o roubo de páginas do Facebook. Parece que os cibercriminosos estão tentando abusar das páginas existentes de grande público, incluindo orçamentos de publicidade, portanto, mesmo muitas páginas com grande alcance podem ser exploradas dessa maneira para disseminar ainda mais o golpe.
Outra campanha que explora a popularidade das ferramentas de IA usa uma isca “GoogleAI” para enganar os usuários a baixar os arquivos maliciosos, os quais contêm malware em um único arquivo de lote, como GoogleAI[.]bat . Da mesma forma que muitos outros ataques como esse, ele usa uma plataforma de compartilhamento de código-fonte aberto, desta vez o Gitlab, para recuperar o próximo estágio.
A carga útil (payload) final está localizada no script python chamado libb1[.]py . Este é um ladrão de navegador baseado em python que tenta roubar dados de login e cookies de todos os principais navegadores, e os dados roubados são exfiltrados via Telegram.
As campanhas descritas anteriormente dependem extensivamente de vários serviços gratuitos e de redes sociais, bem como um conjunto de ferramentas de código aberto, carecendo de sofisticação significativa.
No entanto, nem todas as campanhas seguem esse padrão. A Check Point Research descobriu recentemente muitas campanhas sofisticadas que empregam anúncios do Facebook e contas comprometidas disfarçadas, entre outras coisas, como ferramentas de IA.
Essas campanhas avançadas introduzem um novo e oculto robô ladrão, ByosBot, que opera sob o radar. O malware abusa do dotnet bundle (arquivo único), formato independente que resulta em detecção estática muito baixa ou nenhuma. O ByosBot está focado em roubar informações de contas do Facebook, tornando essas campanhas autossustentáveis ou autoalimentadas: os dados roubados podem ser posteriormente utilizados para propagar o malware por meio de contas comprometidas recentemente.
Conclusão
O crescente interesse público em soluções baseadas em IA levou os agentes de ameaças a explorar essa tendência, principalmente aqueles que distribuem infostealers. Esse aumento pode ser atribuído aos mercados clandestinos em expansão, onde os intermediários (Initial Access Brokers) se especializam em adquirir e vender acesso ou credenciais para sistemas comprometidos.
Além disso, o crescente valor dos dados usados para ataques direcionados, como Business E-mail Compromise (BEC) ou comprometimento de e-mail corporativo e spear-phishing, alimentou a proliferação de infostealers.
Os serviços autênticos de IA possibilitam que os cibercriminosos criem e implementem golpes fraudulentos de uma forma muito mais sofisticada e crível. Portanto, é essencial que indivíduos e organizações se eduquem, estejam cientes dos riscos e permaneçam atentos contra as táticas dos cibercriminosos. As soluções avançadas de segurança continuam sendo importantes na proteção contra essas ameaças em evolução.
Como identificar phishing e falsificação de identidade
Os ataques de phishing usam truques para convencer a vítima de que são legítimos. Algumas das maneiras de detectar um ataque de phishing são:
• Ignorar nomes de exibição: sites ou e-mails de phishing podem ser configurados para mostrar qualquer coisa no nome de exibição. Em vez de olhar para o nome de exibição, verifique o e-mail ou o endereço da Web do remetente para confirmar se ele vem de uma fonte confiável e autêntica.
• Verifique o domínio: os phishers geralmente usam domínios com pequenos erros ortográficos ou que parecem plausíveis. Por exemplo, company[.]com pode ser substituído por cormpany[.]com ou um e-mail pode ser de company-service[.]com . Procure esses erros ortográficos, eles são bons indicadores.
• Sempre baixe o software de fontes confiáveis: os grupos do Facebook não são a fonte da qual se pode baixar o software para o seu computador. Vá diretamente para uma fonte confiável, use sua página oficial. Não clique em downloads provenientes de grupos, fóruns não oficiais, entre outros.
• Verifique os links: os ataques de phishing de URL são projetados para induzir os destinatários a clicarem em um link malicioso. Passe o mouse sobre os links em um e-mail e veja se eles realmente vão para onde afirmam. Insira links suspeitos em uma ferramenta de verificação de phishing como phishtank[.]com, a qual informará se são links de phishing conhecidos. Se possível, não clique em nenhum link; visite o site da empresa diretamente e navegue até a página indicada.