Aktor ancaman terkait dengan proyek ransomware dan malware yang kurang dikenal sekarang menggunakan alat AI sebagai umpan untuk menginfeksi korban yang tidak curiga dengan muatan jahat.
Perkembangan ini mengikuti tren yang telah berkembang sejak tahun lalu, dimulai dengan Aktor ancaman tingkat lanjut Menggunakan generator konten Deepfake untuk menginfeksi korban dengan malware.
Umpan ini telah menjadi diadopsi secara luas oleh Malware penciuman info Operator dan operasi ransomware yang berusaha melanggar jaringan perusahaan.
Peneliti Cisco Talos telah ditemukan Teknik yang sama sekarang diikuti oleh tim ransomware yang lebih kecil yang dikenal sebagai Cyberlock, Lucky_GH0 $ T, dan malware baru bernama Numero.
Muatan berbahaya dipromosikan melalui keracunan SEO dan malversi untuk memberi peringkat tinggi pada hasil mesin pencari untuk istilah tertentu.
Peniruan Alat AI
Cyberlock adalah ransomware berbasis PowerShell yang dikirimkan melalui situs web alat AI palsu (Novaleadsai[.]com) menyamar sebagai novaleads.app yang sah.
.jpg)
Sumber: Cisco Talos
Korban terpikat oleh penawaran berlangganan 12 bulan gratis, mengarahkan mereka untuk mengunduh .NET Loader yang menggunakan ransomware.
Setelah dieksekusi pada mesin korban, Cyberlock mengenkripsi file di beberapa partisi disk, menambahkan ekstensi .cyberlock pada file yang terkunci.
Catatan tebusan menuntut uang tebusan $ 50.000 untuk dibayar dalam cryptocurrency Monero yang sulit dilacak, mengklaim bahwa dana tersebut akan mendukung tujuan kemanusiaan di Palestina, Ukraina, Afrika, dan Asia.
Sumber: Cisco Talos
Lucky_GH0 $ T adalah strain ransomware baru yang berasal dari Yashma, yang dengan sendirinya didasarkan pada ransomware kekacauan.
Analis Cisco mengamati itu didistribusikan sebagai penginstal chatgpt palsu (“ChatGPT 4.0 Versi Lengkap – Premium.exe”) dikemas dalam arsip pengekspresikan diri.
Paket ini mencakup alat AI open-source Microsoft yang sah di samping muatan ransomware, kemungkinan akan menghindari deteksi antivirus.
Jika dieksekusi, ia mengenkripsi file yang lebih kecil dari 1.2GB, menambahkan ekstensi empat karakter acak, sementara file yang lebih besar diganti dengan file sampah ukuran yang sama dan dihapus.
Korban Lucky_GH0 $ t menerima ID pribadi dan diinstruksikan untuk menghubungi penyerang melalui sesi platform Messenger yang aman untuk negosiasi dan dekripsi tebusan.
Sumber: Cisco Talos
Akhirnya, malware baru yang disebut Numero Masquerades sebagai installer AI Invideo tetapi dirancang untuk menyerang sistem Windows.
Malware dikirim dalam penetes yang berisi file batch, skrip VB, dan yang dapat dieksekusi bernama wintitle.exe.
Ini dieksekusi dalam loop tak terbatas, terus merusak antarmuka pengguna grafis korban dengan menimpa judul jendela, tombol, dan konten dengan string numerik “1234567890.”
Sumber: Cisco Talos
Meskipun tidak ada data yang dihancurkan atau dienkripsi oleh Numero, malware membuat sistem windows yang terinfeksi sepenuhnya tidak dapat digunakan. Pada saat yang sama, loop tak terbatas yang dijalankan memastikan sistem “terkunci” di negara yang rusak secara visual ini.
Karena lebih banyak penjahat cyber berusaha untuk mengambil keuntungan dari meningkatnya minat orang pada alat AI, hati -hati disarankan dengan file yang diunduh dari situs web yang meragukan.
Akan lebih bijaksana untuk tetap berpegang pada proyek AI utama daripada bereksperimen dengan alat baru dan mencari penginstal dari situs web resmi alih -alih mengikuti tautan dari hasil yang dipromosikan atau posting media sosial.
