Złośliwa kampania reklamowa promuje fałszywą witrynę edytora AI w celu kradzieży poświadczeń

Gdy ofiary otwierają złośliwe strony internetowe, są manipulowane w taki sposób, aby odwiedziły sekcję pobierania i zainstalowały pakiet, który – jak można się spodziewać – nie jest edytorem zdjęć, ale legalnym narzędziem do zarządzania punktami końcowymi, wykorzystującym złośliwą konfigurację. Po pomyślnej instalacji narzędzie umożliwia zdalne zarządzanie urządzeniem. Następnie atakujący może wykorzystać funkcje narzędzia do pobrania i uruchomienia programów kradnących poświadczenia, co ostatecznie prowadzi do wykradzenia poufnych danych z komputera ofiary.

Analiza techniczna

Aby przejąć kontrolę nad docelową stroną w mediach społecznościowych, atakujący najpierw wysyła ​​do administratora wiadomości zawierające linki phishingowe, które mogą być albo bezpośrednimi linkami, albo ich skróconymi wersjami. Czasami adresy te nadużywają otwartego adresu URL przekierowania Facebooka, >, aby wyglądały bardziej legalnie. Przykład poniżej.

Nadawca wiadomości zazwyczaj używa pustego profilu z losowo generowanymi nazwami użytkowników, po których następuje kilka cyfr.

Jeśli operatorzy docelowych stron na Facebooku klikną spersonalizowane linki, zostanie im wyświetlony ekran podobny do pokazanego poniżej:

Kliknięcie przycisku „Zweryfikuj swoje informacje teraz” prowadzi do fałszywej strony ochrony konta, która w kilku kolejnych krokach prosi użytkowników o informacje niezbędne do zalogowania się i przejęcia konta, takie jak numer telefonu, adres e-mail, data urodzenia i hasło.

Po podaniu przez cel wszystkich potrzebnych informacji atakujący kradnie jego profil i zaczyna publikować złośliwe reklamy, które łączą się z fałszywą domeną edytora zdjęć AI. W tym przypadku nazwa legalnego edytora zdjęć, który jest nadużywany, to Evoto.

Strona internetowa fałszywego narzędzia wygląda bardzo podobnie do oryginalnej, co pomaga oszukać ofiarę. W rzeczywistości pobiera i instaluje ona oprogramowanie do zarządzania punktami końcowymi.

Co ciekawe, JavaScript odpowiedzialny za pobieranie pakietu zawiera statystyki w zmiennej o nazwie download_count. W momencie pisania tego raportu jest około 16 000 odsłon dla wersji binarnej systemu Windows i 1200 odsłon dla wersji na system MacOS (która przekierowuje tylko do apple.com i nie zwraca żadnych plików binarnych).

Pobranym plikiem MSI jest w rzeczywistości darmowe i legalne narzędzia do zarządzania punktami końcowymi – ITarian. Narzędzie jest instalowane i samoczynnie rejestrowane na komputerze ofiary ze złośliwą konfiguracją, pozwalającą sterować zdalnie maszyną z serwera C&C atakującego.

Ostateczny ładunek to Lumma Stealer, którego początkowa komunikacja C&C charakteryzuje się dwoma kolejnymi żądaniami POST do ścieżki URL/api z typem zawartości x-www-form-urlencoded. Pierwsza zawartość żądania to act=life, po której następuje zawartość drugiego żądania, „act=recive_message&ver=<version>&lid=<id>&j=” (sic!), która zwraca zakodowaną w Base64 konfigurację stealera.

Pierwsze 32 bajty zdegradowanego bufora to klucz XOR – pozostałe bajty to zaszyfrowana konfiguracja. Odszyfrowana konfiguracja jest w formacie JSON i zawiera listę wszystkiego, co stealer ma ukraść.

Podsumowanie

Opisany scenariusz jest świetnym przykładem wykorzystania trendu AI do manipulowania i nakłaniania użytkowników, a nawet, jak widzimy, administratorów. Dodatkowo wektorem ataku są tutaj media społecznościowe, które zazwyczaj nie są traktowane priorytetowo, jeśli chodzi o zabezpieczenia i świadomość zagrożeń.