Kampanye malvertising Facebook menargetkan pengguna yang mencari alat penyuntingan gambar AI dan mencuri kredensial mereka dengan menipu mereka agar memasang aplikasi palsu yang meniru perangkat lunak sah.
Para penyerang mengeksploitasi popularitas alat pembuat gambar berbasis AI dengan membuat situs web berbahaya yang sangat mirip dengan layanan sah dan mengelabui calon korban agar menginfeksi diri mereka dengan malware pencuri informasi, seperti yang ditemukan oleh peneliti Trend Micro yang menganalisis kampanye tersebut.
Serangan dimulai dengan pesan phishing yang dikirim ke pemilik atau administrator halaman Facebook, yang akan mengarahkan mereka ke halaman perlindungan akun palsu yang dirancang untuk mengelabui mereka agar memberikan informasi login.
Setelah mencuri kredensial mereka, pelaku ancaman membajak akun mereka, mengambil alih halaman mereka, menerbitkan unggahan berbahaya di media sosial, dan mempromosikannya melalui iklan berbayar.
“Kami menemukan kampanye malvertising yang melibatkan aktor ancaman yang mencuri halaman media sosial (biasanya terkait dengan fotografi), mengubah nama mereka agar tampak terhubung dengan editor foto AI populer,” dikatakan Peneliti ancaman Trend Micro Jaromir Horejsi.
“Pelaku ancaman kemudian membuat posting berbahaya dengan tautan ke situs web palsu yang dibuat menyerupai situs web sebenarnya dari editor foto yang sah. Untuk meningkatkan lalu lintas, pelaku kemudian meningkatkan posting berbahaya tersebut melalui iklan berbayar.”
Pengguna Facebook yang mengeklik URL yang dipromosikan dalam iklan jahat tersebut akan diarahkan ke laman web palsu yang meniru perangkat lunak penyuntingan dan pembuatan foto AI yang sah, di mana mereka diminta untuk mengunduh dan memasang paket perangkat lunak.
Akan tetapi, alih-alih menggunakan perangkat lunak penyunting gambar AI, para korban memasang alat desktop jarak jauh Italia sah yang dikonfigurasi untuk meluncurkan pengunduh yang secara otomatis menyebarkan malware Lumma Stealer.
Malware tersebut kemudian diam-diam menyusup ke sistem mereka, yang memungkinkan penyerang mengumpulkan dan mencuri informasi sensitif seperti kredensial, file dompet mata uang kripto, data browser, dan basis data pengelola kata sandi.
Data ini kemudian dijual ke penjahat dunia maya lain atau digunakan oleh penyerang untuk membahayakan akun daring korban, mencuri uang mereka, dan mempromosikan penipuan lebih lanjut.
“Pengguna harus mengaktifkan autentikasi multifaktor (MFA) di semua akun media sosial untuk menambahkan lapisan perlindungan ekstra terhadap akses tidak sah,” saran Horejsi.
“Organisasi harus mendidik karyawannya tentang bahaya serangan phishing dan cara mengenali pesan dan tautan yang mencurigakan. Pengguna harus selalu memverifikasi keabsahan tautan, terutama yang meminta informasi pribadi atau kredensial login.”
Pada bulan April, kampanye malvertising Facebook yang serupa mempromosikan halaman berbahaya meniru Midjourney menargetkan hampir 1,2 juta pengguna dengan ekstensi peramban Chrome Rilide Stealer.
