Yllättävässä paljastuksessa verkkorikolliset ovat hyödyntäneet generatiivisen tekoälyn ympärillä olevaa hypeä vuoden ajan kestävään pahantahtoiseen kampanjaan. Uhkailutietoyritys Google Mandiantin mukaan nämä huijarit ovat jakaneet tietovarkaita ja takaovia AI-työkalujen varjolla.

Petollinen Strategia

Älykkäässä keikauksessa uhkatekijäryhmä nimeltä UNC6032, jonka sanotaan olevan yhteydessä Vietnamiin, on hyödyntänyt tuhansia harhaanjohtavia mainoksia, jotka ovat näkyvästi esillä alustoilla kuten Facebook ja LinkedIn. Esittäytyen oikeina toimijoina kuten Luma AI, Canva Dream Lab ja Kling AI, nämä mainokset johtavat pahaa-aavistamattomat käyttäjät lähes identtisille valesivustoille. Sen sijaan että käyttäjät saisivat luvattua AI-generoitua sisältöä, he saavat haittaohjelmilla ladatun tiedoston, joka oli tarkoitettu olemaan AI-videogeneraattori.

Laajalle Ulottuva Vaikutus

Mandiantin perusteellinen tutkimus paljasti, että nämä mainokset ovat tavoittaneet noin 2,3 miljoonaa ihmistä pelkästään Euroopan unionissa. Tämä huolestuttava tieto kaikuu aikaisempien havaintojen kanssa, joita on raportoinut tietoturvayritys Morphisec.

Välttelyn Taktiikat

Mikä erottaa UNC6032-ryhmän, on heidän ketteryytensä välttämään tunnistamista. Uudet rekisteröidyt verkkotunnukset otetaan nopeasti käyttöön mainoksissa, joskus tuntien sisällä niiden aktivoinnista. Näitä verkkotunnuksia tukevat kaapatut Facebook-tilit, joiden kautta harhaanjohtavia mainoksia julkaistaan jatkuvasti. Raporttien mukaan jotkut LinkedIn-mainokset ovat saattaneet tavoittaa jopa 250 000 henkilöä roistomaisen klingxai.com -sivuston kautta.

AI:ksi Naamioituneet Haittaohjelmat

Valeverkostot imitoivat tarkkaan aidoilta näyttävien AI-palveluiden käyttöliittymiä ja logoja. Yksi huijarisivusto, jota kuvailtiin ‘Luma Dream AI Machine’, esitteli tavallisia videonluontivaihtoehtoja. Kun käyttäjä oli vuorovaikutuksessa, sivusto teeskennelee käsittelysekvenssiä ennen ‘lataus’-napin näyttämistä, joka kätkee haitallisen zip-arkiston. Tässä arkistossa oleva haittaohjelma, Starkveil, sisältää modulaarisia komponentteja kuten Grimpull, XWorm ja Frostrift, jotka pystyvät tiedon varastamiseen ja järjestelmän vaarantamiseen.

Uusia Haittaohjelmatoimitusinnovaatioita

Rustilla luotu Starkveil käyttää ovelia tekniikoita, kuten kaksoispäätetemppua näkymättömillä pistekirjoituksen Unicode-merkeillä piilottaakseen haitalliset suoritettavat tiedostot harmittomina tiedostotyyppeinä. Suorituksen jälkeen Starkveil vapauttaa upotettuja arkistoja luotettuihin Windows-prosesseihin, hyödyntäen hämäystä jäädäkseen huomaamatta.

Jatkuva Uhka

Ryhmän haitallinen infrastruktuuri päivitetään säännöllisesti, mikä mahdollistaa jatkuvasti kehittyviä hyötykuormia. Heidän sitkeät taktiikkansa sisältävät hyötykuormien dynaamisen hämäämisen, mikä tekee staattisesta tunnistamisesta yhä haastavampaa. Haittaohjelma jatkaa pysyvyyden saavuttamista upottamalla AutoRun-rekisteriavaimia ja sivulataamalla haitallisia DLL-tiedostoja laillisten suoritettavien reittien kautta.

Lainsäädännölliset ja Kyberturvallisuusvastaukset

Raportissa korostetaan Metan toimia haitallisten mainosten purkamiseksi ja niitä levittäneiden verkkotunnusten poistamiseksi. Lisäksi LinkedIn on ottanut käyttöön avoimuustyökaluja tarjoamaan tietoa mainosten tavoittavuudesta ja kohdentamiskuvioista, tukien tutkijoita arvioimaan altistuksen laajuutta.

According to GovInfoSecurity, tämä pahantahtoinen kampanja toimii kylmäävänä muistutuksena kyberrikollisuutta vastaan käytävästä jatkuvasta taistelusta, kehottaen valppauteen ja kyberturvallisuusyhteisöjen nopeaan sopeutumiseen ympäri maailman.