Los instaladores falsos para herramientas populares de inteligencia químico (AI) como OpenAi Chatgpt e Invideo AI se están utilizando como señuelos para propagar varias amenazas, como las familias Cyberlock y Lucky_Gh0 $ T Ransomware, y un nuevo malware denominado Numero.
“El ransomware Cyberlock, desarrollado utilizando PowerShell, se centra principalmente en encriptar archivos específicos en el sistema de la víctima”, dijo hoy el investigador de Cisco Talos, Chetan Raghuprasad, en un mensaje. “Lucky_gh0 $ T ransomware es otra variación del ransomware Yashma, que es la sexta iteración de la serie de ransomware Chaos, que presenta solo modificaciones menores en el binario de ransomware”.
Numero, por otro costado, es un malware destructivo que afecta a las víctimas manipulando los componentes gráficos de la interfaz de beneficiario (GUI) de su sistema activo Windows, lo que hace que las máquinas no sean inutilizables.
La compañía de ciberseguridad dijo que las versiones legítimas de las herramientas de IA son populares en el dominio de ventas de empresa a empresa (B2B) y el sector de marketing, lo que sugiere que las personas y las organizaciones en estas industrias son el foco principal de los actores de amenazas detrás de la campaña.
Uno de esos sitios web falsos de opción de IA es “Novaleadsai (.) Com”, que probablemente se hace advenir por una plataforma de monetización principal emplazamiento Novaleads. Se sospecha que el sitio web se promueve mediante técnicas de envenenamiento de optimización de motores de búsqueda (SEO) para aumentar artificialmente sus clasificaciones en los motores de búsqueda en renglón.
Luego se insta a los usuarios a descargar el producto afirmando ofrecer acercamiento regalado a la utensilio para el primer año, con una suscripción mensual de $ 95 a partir de entonces. Lo que positivamente se descarga es un archivo zip que contiene un ejecutable de .NET (“Novaleadsai.exe”) que se compiló el 2 de febrero de 2025, el mismo día en que se creó el dominio copiado. El binario, por su parte, actúa como un cargador para implementar el ransomware cibernético basado en PowerShell.
El ransomware está equipado para aumentar los privilegios y retornar a ejecutarse con los permisos administrativos, si no es aún, y signo archivos ubicados en las particiones “C: ,” “D: y” E: “que coinciden con un cierto conjunto de extensiones. Luego deja caer una nota de rescate que exige que se realice un suscripción de $ 50,000 en Monero en dos billeteras en tres días.
En un rotación interesante, el actor de amenaza reclama en la nota de rescate que los pagos se asignarán para apoyar a mujeres y niños en Palestina, Ucrania, África, Asia y otras regiones donde “las injusticias son una verdad diaria”.
 |
| Extensiones de archivo dirigidas por ransomware cyberlock |
“Le pedimos que considere que esta cantidad es pequeña en comparación con las vidas inocentes que se están perdiendo, especialmente los niños que pagan el precio final”, dice la nota. “Desafortunadamente, hemos concluido que muchos no están dispuestos a llevar a cabo voluntariamente para ayudar, lo que hace que esta sea la única opción posible”.
El posterior paso involucra al actor de amenaza que emplea el “CiPher.exe” binario de la tierra (lolbin) con la opción “/W” para eliminar el espacio de disco no utilizado apto en todo el tamaño para obstaculizar la recuperación forense de archivos eliminados.
Talos dijo que incluso observó a un actor de amenaza que distribuye el ransomware Lucky_Gh0 $ T bajo la apariencia de un instalador copiado para una lectura premium de ChatGPT.
“El instalador de SFX solapado incluía una carpeta que contenía el ejecutable de ransomware Lucky_Gh0 $ T con el nombre de archivo ‘dwn.exe’, que imita el oficial ejecutable de Microsoft ‘dwm.exe'”, dijo Raghuprasad. “La carpeta incluso contenía herramientas de IA de código libre legítimas que están disponibles en su repositorio de GitHub para desarrolladores y científicos de datos que trabajan con IA, particularmente adentro del ecosistema de Azure”.
Si la víctima ejecuta el archivo de instalador SFX solapado, el script SFX ejecuta la carga útil de Ransomware. Una variación de ransomware Yashma, Lucky_Gh0 $ T se dirige a archivos que tienen aproximadamente menos de 1.2GB de tamaño para el enigmático, pero no antaño de eliminar copias y copias de seguridad de sombras de tamaño.
La nota de rescate que se redujo al final del ataque incluye una identificación de descifrado personal única e indica a las víctimas que se comuniquen con ellos a través de la aplicación de transporte de sesión para un suscripción de rescate y obtener un descifrador.
Por posterior, pero no menos importante, los actores de amenazas incluso están aprovechando el uso creciente de herramientas de IA para sembrar el panorama en renglón con un instalador falsificado para Invideo AI, una plataforma de creación de video con IA, para implementar un malware destructivo con nombre en código Numero.
El instalador fraudulento sirve como un cuentagotas que contiene tres componentes: un archivo por lotes de Windows, un script de Visual Basic y el ejecutable Numero. Cuando se inicia el instalador, el archivo por lotes se ejecuta a través del shell Windows en un rizo infinito, que, a su vez, ejecuta Numero y luego lo detiene temporalmente durante 60 segundos ejecutando el script VB a través de CScript.
“A posteriori de reanudar la ejecución, el archivo por lotes termina el proceso de malware Numero y reinicia su ejecución”, dijo Talos. “Al implementar el rizo infinito en el archivo por lotes, el malware Numero se ejecuta continuamente en la máquina de víctimas”.
Un ejecutable de Windows de 32 bits escrito en C ++, Numero verifica la presencia de herramientas de estudio de malware y depuradores entre los procesos en ejecución, y procede a sobrescribir el título, los ordenanza y el contenido de la ventana de escritorio con la esclavitud numérica “1234567890”. Fue compilado el 24 de enero de 2025.
La divulgación se produce cuando Mandiant, propiedad de Google, reveló detalles de una campaña malvertida que utiliza anuncios maliciosos en Facebook y LinkedIn para redirigir a los usuarios a sitios web falsos que se hacen advenir por herramientas legítimas de generadores de videos de IA como Luma AI, Canva Dream Lab y Kling AI, entre otros.
La actividad, que incluso fue expuesta recientemente por Morphisec y Check Point a principios de este mes, se ha atribuido a un clúster de amenazas que el titán tecnológico rastrea como UNC6032, que se evalúa por tener un ilación de Vietnam. La campaña ha estado activa desde al menos mediados de 2014.
El ataque se desarrolla de esta modo: los usuarios desprevenidos que aterrizan en estos sitios web reciben instrucciones de proporcionar un mensaje de entrada para difundir un video. Sin bloqueo, como se observó anteriormente, la entrada no importa, ya que la responsabilidad principal del sitio web es iniciar la descarga de una carga útil basada en el óxido llamado StarkVeil.
“(StarkVeil) deja caer tres familias de malware modular diferentes, diseñadas principalmente para robo de información y capaz de descargar complementos para extender su funcionalidad”, dijo Mandiant. “La presencia de múltiples cargas avíos similares sugiere un mecanismo a prueba de fallas, lo que permite que el ataque persista incluso si algunas cargas son detectadas o bloqueadas por defensas de seguridad”.
Las tres familias de malware están a continuación –
- Grimpull, un descargador que utiliza un túnel Tor para obtener cargas avíos .NET adicionales que se descifran, descompriman y se cargan en la memoria como ensamblados .NET
- Frostrift, una puerta trasera de .NET que recopila información del sistema, detalles sobre aplicaciones instaladas y escaneos para 48 extensiones relacionadas con administradores de contraseñas, autenticadores y billeteras de criptomonedas en navegadores web basados en cromo
- XWORM, un troyano de acercamiento remoto basado en .NET (RAT) conocido con características como Keylogging, ejecución de comandos, captura de pantalla, compendio de información y notificación de víctimas a través de Telegram
Starkveil incluso sirve como un conducto para difundir un coilhatch con nombre en código de dropper basado en Python que en verdad tiene la tarea de ejecutar las tres cargas avíos mencionadas anteriormente a través de la carga vecino de DLL.
“Estas herramientas de IA ya no se dirigen solo a los diseñadores gráficos; cualquier persona puede ser atraída por un anuncio aparentemente inofensivo”, dijo Mandiant. “La tentación de probar la última utensilio de IA puede admitir a que cualquiera se convierta en una víctima”.
