I criminali informatici continuano a cercare nuovi modi per rubare informazioni private. Una nuova truffa scoperta da Check Point Research (CPR) sfrutta Facebook per sottrarre a persone ignare le loro password e i loro dati privati, approfittando del loro interesse per le popolari applicazioni di intelligenza artificiale generativa.
In primo luogo, i criminali creano pagine o gruppi Facebook falsi con nomi di aziende popolari, includendo contenuti accattivanti. La persona ignara commenta o mette “mi piace” al contenuto, rendendola così visibile anche nei feed dei suoi amici. La pagina falsa offre un nuovo servizio o un contenuto speciale, attivabile tramite un link. Ma quando l’utente clicca sul link, scarica inconsapevolmente un malware dannoso, progettato per rubare le sue password online, i portafogli di criptovalute e altre informazioni salvate nel suo browser.
Molte delle pagine false offrono suggerimenti, notizie e versioni migliorate dei servizi di IA Google Bard o ChatGPT:
In molti casi, i criminali informatici attirano gli utenti verso altri servizi e strumenti di Intelligenza Artificiale. Un altro brand importante di IA, con oltre 2 milioni di fan, che viene spacciato dai criminali informatici è Jasper AI. Anche questo dimostra come piccoli dettagli possano giocare un ruolo importante e fare la differenza tra un servizio legittimo e una truffa. Gli utenti spesso non hanno idea che si tratti di truffa. Anzi, discutono appassionatamente del ruolo dell’IA nei commenti e mettono mi piace e condividono i post, diffondendo ulteriormente il rischio per chi utilizza Facebook.
La maggior parte di queste pagine Facebook conduce a landing page di tipo simile che incoraggiano gli utenti a scaricare file di archivio protetti da password che sono presumibilmente legati ai motori di Intelligenza Artificiale generativa.
Caso di studio: falsa pagina di Midjourney AI
Gli autori delle minacce che si celano dietro alcune pagine Facebook dannose fanno di tutto per farle apparire autentiche, rafforzando l’apparente credibilità sociale. Quando un utente ignaro cerca “Midjourney AI” su Facebook e si imbatte in una pagina con 1,2 milioni di follower, è probabile che creda che si tratti di una pagina autentica.
Lo stesso principio si applica ad altri indicatori di legittimità della pagina: quando i post della pagina falsa hanno numerosi “mi piace” e commenti, indica che altri utenti hanno già interagito positivamente con il contenuto, riducendo la probabilità di sospetto.
L’obiettivo principale di questa falsa pagina Facebook di Mid-Journey AI è quello di indurre gli utenti a scaricare malware. Per dare un’aria di credibilità, i link ai siti web dannosi sono mescolati con quelli alle recensioni legittime di Midjourney o ai social network. Nella pagina sono presenti diversi link. Il primo link, ai-midjourney[.]net, ha un solo pulsante Get Started, che reindirizza al secondo sito falso, midjourneys[.]info, che offre il download di Midjourney AI gratuito per 30 giorni.
Quando l’utente fa clic sul pulsante, in realtà scarica un file di archivio chiamato MidJourneyAI.rar da Gofile, una piattaforma gratuita di condivisione e archiviazione di file. Una volta terminato il download, la vittima, che crede di aver scaricato il programma di installazione legittimo di MidJourney, viene ingannata ed esegue un file dannoso denominato Mid-Journey_Setup.exe. Questo falso file installa Doenerium, un infostealer open-source, che è stato rilevato in molte altre truffe, con l’obiettivo finale di raccogliere i dati personali delle vittime. Il malware memorizza se stesso e tutti i suoi molteplici file e directory ausiliari nella cartella TEMP.Il malware utilizza diversi servizi legittimi come per esempio Github, Gofile e Discord come mezzi di comunicazione di comando e controllo e di esfiltrazione dei dati. Così, l’account github antivirusevasion69 viene utilizzato dal malware per installare webhook Discord, che viene poi utilizzato per riferire tutte le informazioni rubate dalla vittima al canale Discord del criminale.
In primo luogo, il malware invia un messaggio “Nuova vittima” a Discord, fornendo una descrizione del nuovo computer infetto. La descrizione include dettagli quali il nome del PC, la versione del sistema operativo, la RAM, il tempo di attività e il percorso specifico da cui è stato eseguito il malware. Queste informazioni permettono all’attaccante di discernere con precisione quale truffa o esca abbia portato all’installazione del malware.
Il malware cerca di raccogliere vari tipi di informazioni da tutti i principali browser, compresi i cookie, i segnalibri, la cronologia di navigazione e le password. Inoltre, prende di mira i portafogli di criptovalute, tra cui Zcash, Bitcoin, Ethereum e altri. Il malware è anche in grado di rubare le credenziali FTP da Filezilla e le sessioni da varie piattaforme sociali e di gioco. Una volta che tutti i dati sono stati rubati dal computer preso di mira, vengono consolidati in un singolo archivio e caricati sulla piattaforma di file sharing Gofile.
Successivamente, l’infostealer invia un messaggio “Infetto” a Discord, contenente dettagli organizzati sui dati estratti con successo dalla macchina, insieme a un link per accedere all’archivio contenente le informazioni rubate.
È interessante notare che la maggior parte dei commenti sulla falsa pagina Facebook è fatta da bot con nomi vietnamiti e che la lingua di chat predefinita sul falso sito MidJourney è il vietnamita. Questo ci permette di valutare con una sicurezza medio-bassa che questa campagna sia gestita da un attore di minacce affiliato al Vietnam.
L’ascesa degli infostealer, i ladri di informazioni
La maggior parte delle campagne che utilizzano pagine false e annunci malevoli su Facebook diffondono malware per sottrarre informazioni. Nell’ultimo mese, CPR e altre società di sicurezza hanno osservato che diverse campagne distribuiscono estensioni del browser dannose al fine di rubare informazioni. Il loro obiettivo principale sembra essere il furto di pagine Facebook e dei dati associati agli account. Sembra che i cybercriminali stiano cercando di abusare delle pagine frequentate da un vasto pubblico, comprese quelle supportate da budget pubblicitari. Pertanto, molte pagine con un vasto seguito potrebbero essere sfruttate in questo modo per diffondere ulteriormente la truffa.
Un’altra campagna che sfrutta la popolarità degli strumenti di intelligenza artificiale utilizza come esca “GoogleAI” per ingannare gli utenti e indurli a scaricare archivi dannosi, che contengono malware in un unico file batch, come GoogleAI.bat. Analogamente a molti altri attacchi di questo tipo, viene utilizzata la piattaforma di condivisione di codice open-source, questa volta Gitlab, per recuperare la fase successiva.
Il payload finale si trova nello script python chiamato libb1.py. Si tratta di un browser stealer basato su python che tenta di rubare i dati di login e i cookie da tutti i principali browser. I dati rubati vengono esfiltrati tramite Telegram.
Le campagne descritte in precedenza si basano su vari servizi e social network gratuiti, nonché su strumenti open-source, senza una significativa sofisticazione. Tuttavia, non tutte le campagne seguono questo schema. Check Point Research ha recentemente identificato molte campagne sofisticate che utilizzano annunci pubblicitari su Facebook e account compromessi travestiti, tra le altre cose, da strumenti di Intelligenza Artificiale. Queste campagne di livello avanzato introducono un nuovo e furtivo stealer-bot ByosBot che opera sottotraccia. Il malware sfrutta il formato dotnet bundle (single-file), che ha un rilevamento statico molto basso o nullo. ByosBot si concentra sul furto di informazioni dell’account Facebook, rendendo queste campagne autosufficienti o autoalimentate: i dati rubati potrebbero essere utilizzati successivamente per propagare il malware attraverso nuovi account compromessi.
Conclusione
Il crescente interesse del pubblico per le soluzioni basate sull’Intelligenza Artificiale ha portato gli autori delle minacce a sfruttare questa tendenza, in particolare quelli che distribuiscono infostealer. Questa impennata può essere attribuita all’espansione dei mercati clandestini, dove i broker di accesso iniziale sono specializzati nell’acquisizione e nella vendita di accessi o credenziali a sistemi compromessi. Inoltre, il crescente valore dei dati utilizzati per attacchi mirati, come la compromissione delle e-mail aziendali e lo spear-phishing, ha alimentato la proliferazione degli infostealer.
Purtroppo, i servizi di IA autentici consentono ai criminali informatici di creare e mettere in atto truffe e azioni fraudolente in modo molto più sofisticato e credibile. È, pertanto, fondamentale che individui e organizzazioni si istruiscano, siano consapevoli dei rischi e rimangano vigili contro le tattiche utilizzate dei criminali informatici. Le soluzioni di sicurezza avanzate restano importanti per proteggersi da queste minacce in continua evoluzione.
Come identificare il phishing e le impersonificazioni
Gli attacchi di phishing utilizzano trucchi per convincere il bersaglio che si tratta di azioni legittime. Alcuni dei modi per individuare un attacco di phishing sono:
- Ignorare i nomi di visualizzazione: i siti o le e-mail di phishing possono essere configurati per mostrare qualsiasi cosa nel nome visualizzato. Invece di guardare il nome visualizzato, controllate l’e-mail o l’indirizzo web del mittente per verificare che provenga da una fonte affidabile e autentica.
- Verificare il dominio: i phisher utilizzano spesso domini con piccoli errori ortografici o che sembrano plausibili. Ad esempio, company.com può essere sostituito con cormpany.com o un’e-mail può provenire da company-service.com. Cercate questi errori ortografici, sono un buon indicatore.
- Scaricate sempre software da fonti affidabili: i gruppi di Facebook non sono la fonte da cui scaricare software sul computer. Andate direttamente da una fonte affidabile, utilizzate la sua pagina web ufficiale. Non fate click sui download provenienti da gruppi, forum non ufficiali, ecc.
- Controllate i link: gli attacchi di phishing tramite URL sono progettati per indurre i destinatari a cliccare su un link dannoso. Passate il mouse sui link all’interno di un’e-mail e verificate se vanno effettivamente dove dicono. Inserite i link sospetti in uno strumento di verifica del phishing come phishtank.com, che vi dirà se si tratta di link di phishing noti. Se possibile, non cliccate affatto su un link; visitate direttamente il sito dell’azienda e navigate fino alla pagina indicata.