In una rivelazione scioccante, truffatori online hanno manipolato il clamore attorno all’intelligenza artificiale generativa in una campagna dannosa che va avanti da un anno. Secondo un rapporto della società d’intelligence sulle minacce Google Mandiant, questi truffatori hanno distribuito infostealer e backdoor sotto le mentite spoglie di utilità AI.
La Strategia Ingannevole
In un astuto colpo di scena, il gruppo di attori della minaccia denominato UNC6032, presumibilmente collegato al Vietnam, ha sfruttato migliaia di annunci fuorvianti presentati in modo prominente su piattaforme come Facebook e LinkedIn. Mascherandosi da entità legittime come Luma AI, Canva Dream Lab e Kling AI, questi annunci conducono gli utenti ignari a siti web falsi quasi identici. Qui, invece del promesso contenuto generato dall’AI, gli utenti ricevono un file infetto da malware, che doveva essere una generazione di video AI.
Un Impatto Diffuso
L’approfondito esame di Mandiant ha rivelato che questi annunci hanno raggiunto circa 2,3 milioni di individui all’interno dell’Unione Europea. Questi dati allarmanti rispecchiano i precedenti risultati della società di sicurezza Morphisec, che riportava osservazioni simili.
Le Tecniche di Evasione
Ciò che distingue UNC6032 è la loro agilità nell’evitare la rilevazione. I nuovi domini registrati vengono utilizzati rapidamente negli annunci, talvolta entro poche ore dalla loro pubblicazione. Questi domini sono supportati da account Facebook compromessi, attraverso i quali vengono continuamente pubblicati annunci ingannevoli. Come riportato, alcuni annunci su LinkedIn hanno potenzialmente raggiunto fino a 250.000 persone tramite il sito canaglia klingxai.com.
Malware Travestito da AI
I siti falsi replicano da vicino le interfacce e i loghi dei servizi AI autentici. Un sito fraudolento rappresentato come ‘Luma Dream AI Machine’ presentava opzioni regolari di creazione video. All’interazione dell’utente, il sito fingeva una sequenza di elaborazione prima di mostrare un pulsante ‘download’ che celava un archivio zip dannoso. Il malware, Starkveil, incluso in questo archivio, comprende famiglie modulari come Grimpull, XWorm e Frostrift, capaci di furto di dati e compromissione del sistema.
Innovazioni nella Consegna dei Malware
Progettato in Rust, Starkveil impiega tecniche ingegnose come il trucco delle doppie estensioni usando caratteri Unicode braille invisibili per nascondere file eseguibili dannosi sotto tipi di file innocui. Dopo l’esecuzione, Starkveil rilascia archivi incorporati in processi Windows fidati, utilizzando l’offuscamento per rimanere inosservato.
Una Minaccia Continua
Aggiornamenti regolari all’infrastruttura del gruppo malevolo permettono loro di ospitare carichi utili continuamente evoluti. Le loro tattiche resilienti includono l’offuscamento dinamico dei carichi utili, rendendo sempre più difficile la rilevazione statica. Il malware continua a guadagnare persistenza integrando chiavi di AutoRun nel registro e caricando dll dannosi tramite percorsi esecutivi legittimi.
Risposte Legislative e di Cybersecurity
Il rapporto sottolinea le azioni di Meta per smantellare questi annunci dannosi ed eliminare i domini associati alla loro diffusione. Inoltre, LinkedIn ha introdotto strumenti di trasparenza che forniscono informazioni sull’estensione e i pattern di targeting degli annunci, aiutando gli investigatori a valutare l’entità dell’esposizione.
Secondo GovInfoSecurity, questa campagna maligna serve come un inquietante promemoria della continua battaglia contro la criminalità informatica, invitando alla vigilanza e all’adattamento rapido da parte delle entità di cybersecurity in tutto il mondo.