B站影视

首页 > 资讯信息 > 欧美电影

网络犯罪分子利用虚假ChatGPT安装程序实施攻击

B站影视 欧美电影 2025-05-30 18:03 2

摘要:网络安全研究人员发现,攻击者正利用OpenAI ChatGPT和InVideo AI等流行人工智能(AI)工具的虚假安装程序作为诱饵,传播包括CyberLock和Lucky_Gh0$t勒索软件家族以及名为Numero的新型恶意软件在内的多种威胁。

网络安全研究人员发现,攻击者正利用OpenAI ChatGPT和InVideo AI等流行人工智能(AI)工具的虚假安装程序作为诱饵,传播包括CyberLock和Lucky_Gh0$t勒索软件家族以及名为Numero的新型恶意软件在内的多种威胁。

Part01

恶意软件技术分析

思科Talos研究员Chetan Raghuprasad在最新报告中指出:"CyberLock勒索软件采用PowerShell开发,主要针对受害者系统中的特定文件进行加密。而Lucky_Gh0$t勒索软件则是Yashma勒索软件的又一变种,属于Chaos勒索软件系列的第六代迭代版本,仅对勒索软件二进制文件进行了细微修改。"Numero则是一种破坏性恶意软件,通过操控Windows操作系统的图形用户界面(GUI)组件,使受感染机器无法正常使用。这些AI工具的合法版本在企业对企业(B2B)销售领域和营销行业广受欢迎,表明相关行业的个人和组织是此次攻击活动的主要目标。Part02

攻击手法剖析

其中一个虚假AI解决方案网站"novaleadsai[.]com"疑似仿冒了名为NovaLeads的潜在客户变现平台。该网站可能通过搜索引擎优化(SEO)投毒技术人为提升其在搜索引擎中的排名。网站诱导用户下载产品,声称首年免费使用,之后每月订阅费为95美元。实际下载的是包含.NET可执行文件("NovaLeadsAI.exe")的ZIP压缩包,该文件编译日期与虚假域名创建日期同为2025年2月2日。该二进制文件充当加载器,用于部署基于PowerShell的CyberLock勒索软件。该勒索软件具备权限提升功能,若未获得管理员权限则会重新以管理员权限执行,并对"C:"、"D:"和"E:"分区中匹配特定扩展名的文件进行加密。随后会投放勒索信,要求受害者在三天内向两个Monero钱包支付5万美元赎金。值得注意的是,攻击者在勒索信中声称所得赎金将用于支持巴勒斯坦、乌克兰、非洲、亚洲等"不公正现象司空见惯"地区的妇女和儿童。Part03

多重攻击载体

Talos还观察到攻击者以高级版ChatGPT虚假安装程序为幌子分发Lucky_Gh0$t勒索软件。该恶意自解压(SFX)安装程序包含一个文件夹,内有伪装成合法Microsoft可执行文件"dwm.exe"的Lucky_Gh0$t勒索软件可执行文件"dwn.exe"。文件夹中还包含微软官方开源AI工具,这些工具原本面向Azure生态系统中使用AI的开发者和数据科学家。当受害者运行恶意SFX安装文件时,SFX脚本会执行勒索软件有效载荷。作为Yashma勒索软件变种,Lucky_Gh0$t会删除卷影副本和备份,然后对大小约小于1.2GB的文件进行加密。攻击结束后投放的勒索信包含唯一的个人解密ID,并指示受害者通过Session消息应用联系攻击者支付赎金获取解密工具。Part04

新型破坏性恶意软件

攻击者还利用AI工具日益普及的趋势,通过伪造AI视频创作平台InVideo AI的安装程序分发代号为Numero的破坏性恶意软件。该欺诈性安装程序作为投放器包含三个组件:Windows批处理文件、Visual Basic脚本和Numero可执行文件。安装程序启动后,批处理文件通过Windows shell无限循环运行,依次执行Numero并通过cscript运行VB脚本使其暂停60秒。这款采用C++编写的32位Windows可执行文件会检查运行进程中是否存在恶意软件分析工具和调试器,随后用数字字符串"1234567890"覆盖桌面窗口的标题、按钮和内容。该恶意软件编译日期为2025年1月24日。Part05

恶意广告攻击活动

与此同时,谷歌旗下Mandiant披露了一项利用Facebook和LinkedIn恶意广告将用户重定向至仿冒Luma AI、Canva Dream Lab和Kling AI等合法AI视频生成工具网站的恶意广告活动细节。该活动被归因于代号UNC6032的威胁组织,据评估与越南存在关联,至少自2024年年中以来一直活跃。攻击流程为:不知情用户访问这些网站后被要求输入提示词生成视频。但实际上网站的主要功能是下载名为STARKVEIL的基于Rust的投放器有效载荷。该投放器会释放三种不同的模块化恶意软件家族,主要用于信息窃取并能下载插件扩展功能。Mandiant指出:"多个相似有效载荷的存在表明攻击者设置了故障保护机制,即使部分有效载荷被安全防御系统检测或阻止,攻击仍能持续。"这三种恶意软件家族包括:STARKVEIL还作为启动代号COILHATCH的基于Python投放器的渠道,实际负责通过DLL侧加载运行上述三种有效载荷。Mandiant警告:"这些AI工具不再仅针对平面设计师,任何人都可能被看似无害的广告引诱。尝试最新AI工具的诱惑可能导致任何人成为受害者。"

参考来源:

Cybercriminals Target AI Users with Malware-Loaded Installers Posing as Popular Toolshttps://thehackernews.com/2025/05/cybercriminals-target-ai-users-with.html

推荐阅读

电台讨论

来源:FreeBuf

免责声明:本站系转载,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本站联系,我们将在第一时间删除内容!
相关推荐