A empresa de cibersegurança chamada Mandiant Threat Defense (adquirida pelo Google em 2022), descobriu uma ampla operação de crimes cibernéticos que tiram proveito desse entusiasmo do público por novas ferramentas de inteligência artificial.

Um grupo conhecido pelo nome de UNC6032 que acredita-se estar sediado no Vietnã, estaria enganando pessoas com anúncios falsos em redes sociais, como Facebook e LinkedIn, que promovem desde meados de 2024 aqueles geradores de vídeos de IA populares, como o Luma AI e o Canva Dream Lab.

Os ataques

No entanto, esses sites baixam secretamente softwares maliciosos, incluindo infostealers e backdoors, que roubam informações confidenciais, como detalhes de login e dados pessoais. Os dados roubados provavelmente são vendidos em mercados online ilegais, como a dark web.

Esse tipo de ataque é uma grande preocupação para todos. De acordo com o report M-Trends da Mandiant, credenciais roubadas são a segunda forma principal de invasão de sistemas por cibercriminosos. A empresa encontrou muitos desses anúncios que alcançam milhões de usuários, e acredita que campanhas semelhantes estejam ativas em outras redes sociais.

Por exemplo, um ataque específico investigado pela empresa de cibersegurança começou com um anúncio no Facebook da Luma Dream AI Machine. Quando um usuário clicava em “Comece agora gratuitamente”, era conduzido por uma série de etapas que imitavam um processo real de criação de vídeos com IA.

Após a barra de carregamento, um botão de download aparece, instalando o software malicioso em vez de baixar um vídeo. Os arquivos baixados utilizam um truque com caracteres ocultos e o ícone de um arquivo .mp4 falso para parecerem inofensivos.

Os malwares

O malware usado nesses ataques que a Mandiant identificou como STARKVEIL, é um programa complexo escrito na linguagem Rust. Ele pode exibir mensagens de erro falsas para induzir os usuários a reabrirem o programa. O software então instala outras ferramentas maliciosos, como XWORM, backdoor FROSTRIFT e o downloader GRIMPULL.

O software malicioso usado nesses ataques, que a Mandiant rastreia como STARKVEIL, é um programa complexo escrito em Rust . Ele pode exibir mensagens de erro falsas para induzir os usuários a reabrir o programa. O software então instala outras ferramentas perigosas, como XWORM , backdoors FROSTRIFT e o downloader GRIMPULL.

Em uma publicação em seu blog, a Mandiant detalha todas essas questões técnicas envolvendo ameaças e mostra que está colaborando com a Meta e o LinkedIn no combate a essa campanha. Embora a Meta tenha removido muitos desses anúncios, outros novos aparecem diariamente. É uma ameaça contínua que exige colaboração constante com a indústria de tecnologia para proteger os usuários.

Yash Gupta, gerente sênior da Mandiant, alerta que “sites bem elaborados que se passam por ferramentas legítimas de IA podem representar uma ameaça a qualquer um. Os usuários precisam ter cuidado ao interagir com anúncios aparentemente inofensivos”.

É fato que as ferramentas de IA estão se tornando populares, e os cibercriminosos continuarão a explorar esse interesse. Recomendamos que você seja cauteloso ao testar essas novas ferramentas e verifique sempre o endereço do site antes de interagir.

Crédito:

https://hackread.com/fake-ai-video-tool-ads-facebook-linkedin-infostealers/