Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО

Lumma Stealer ориентирован на Windows, а AMOS – на macOS, но оба вида вредоносного ПО воруют криптовалютные кошельки, файлы cookie, учетные записи, пароли, данные банковских карт и историю браузера из Google Chrome, Microsoft Edge, Mozilla Firefox и других Chromium-браузеров.

Собранные данные упаковываются в архив и отправляются злоумышленникам, которые могут использовать их для дальнейших атак или продажи на киберпреступных рынках.

Поддельные ИИ-генераторы изображений распространяют Lumma Stealer

За последний месяц киберпреступники создали фальшивые сайты, имитирующие редактор видео и изображений на базе ИИ под названием EditPro.

Как выяснил исследователь кибербезопасности @g0njxa, сайты продвигаются через результаты поиска и рекламу в соцсети X (бывший Twitter), где публикуются дипфейки политических видео, такие как ролик, где президент Байден и Трамп едят мороженое вместе.

Ссылки на изображения ведут на фейковые сайты приложения EditProAI. Сайт editproai[.]pro распространяет вредоносное ПО для Windows, а editproai[.]org – для macOS.

Эти сайты выглядят профессионально и даже показывают баннеры об использовании файлов cookie, что делает их внешне правдоподобными.

Однако при нажатии на кнопку Get Now загружается исполняемый файл, замаскированный под приложение EditProAI. Для Windows это файл Edit-ProAI-Setup-newest_release.exe (анализ VirusTotal), а для macOS – EditProAi_v.4.36.dmg (анализ VirusTotal).

Вредоносное ПО для Windows подписано украденным сертификатом цифровой подписи от Softwareok.com, разработчика бесплатных утилит.

G0njxa сообщает, что зловред использует панель на proai[.]club/panelgood/ для передачи украденных данных, которые могут быть впоследствии извлечены злоумышленниками.

Сервис AnyRun показывает выполнение вредоносного ПО для Windows, классифицируя его как Lumma Stealer.

Если вы ранее загружали эту программу, следует считать, что все сохраненные пароли, криптовалютные кошельки и данные аутентификации скомпрометированы. Немедленно сбросьте пароли, используя уникальные комбинации для каждого сайта.

Также рекомендуется включить многофакторную аутентификацию для всех важных сервисов, таких как криптовалютные биржи, интернет-банкинг, электронная почта и финансовые приложения.

За последние несколько лет вредоносное ПО для кражи данных стало массовой угрозой, и киберпреступники проводят глобальные операции по похищению учетных данных и токенов аутентификации.

Среди недавних кампаний можно отметить использование уязвимостей нулевого дня, поддельных исправлений для проблем на GitHub, а также фальшивых ответов на StackOverflow.

Украденные учетные данные используются для взлома корпоративных сетей, кражи данных, как в случае с массовыми утечками учетных записей SnowFlake, и создания хаоса путем изменения информации маршрутизации сетей.