Os cibercriminosos seguem tentando novas formas de roubar informa\u00e7\u00f5es privadas. Um novo golpe descoberto pelos pesquisadores da Check Point Research, divis\u00e3o de Intelig\u00eancia em Amea\u00e7as da Check Point Software Technologies Ltd., usa o Facebook para enganar as pessoas com o objetivo de roubar suas senhas e seus dados privados, aproveitando o interesse por aplicativos populares de IA generativa.<\/p>\n
Primeiro, os cibercriminosos criam p\u00e1ginas ou grupos falsos no Facebook para uma marca popular, incluindo conte\u00fado atrativo. A pessoa desavisada comenta ou curte o conte\u00fado, garantindo assim que ele apare\u00e7a nos feeds de seus amigos. A p\u00e1gina falsa oferece um novo servi\u00e7o ou conte\u00fado especial por meio de um link. Mas, quando o usu\u00e1rio clica no link, ele inadvertidamente baixa um malware projetado para roubar suas senhas online, carteiras de criptomoedas e outras informa\u00e7\u00f5es salvas em seu navegador.<\/p>\n
\u201cOs cibercriminosos est\u00e3o ficando mais espertos. Eles sabem que todos est\u00e3o interessados em IA generativa e est\u00e3o usando p\u00e1ginas e an\u00fancios do Facebook para representar ChatGPT, Google Bard, Midjourney e Jasper. Infelizmente, milhares de pessoas est\u00e3o sendo v\u00edtimas desse golpe. Eles est\u00e3o interagindo com as p\u00e1ginas falsas, o que aumenta sua dissemina\u00e7\u00e3o \u2013 e at\u00e9 mesmo instalando malware disfar\u00e7ado de ferramentas gratuitas de IA. Todos n\u00f3s precisamos ficar atentos para garantir que est\u00e3o baixando apenas arquivos de sites aut\u00eanticos e confi\u00e1veis\u201d, alerta Sergey Shykevich, gerente do grupo de Intelig\u00eancia de Amea\u00e7as da Check Point Research (CPR).<\/p>\n
Muitas das p\u00e1ginas falsas oferecem dicas, not\u00edcias e vers\u00f5es aprimoradas dos servi\u00e7os de IA de Google Bard ou ChatGPT. Existem muitas vers\u00f5es do Bard New, Bard Chat, GPT-5, G-Bard AI e outros. Algumas postagens e grupos tamb\u00e9m tentam aproveitar a popularidade de outros servi\u00e7os de IA, como o Midjourney.<\/p>\n
Em muitos casos, os cibercriminosos tamb\u00e9m atraem os usu\u00e1rios para outros servi\u00e7os e ferramentas de IA. Outra grande marca de IA, com mais de 2 milh\u00f5es de f\u00e3s, que \u00e9 representada por cibercriminosos \u00e9 a Jasper AI. Isso tamb\u00e9m mostra como pequenos detalhes podem desempenhar um papel importante e significar a diferen\u00e7a entre um servi\u00e7o leg\u00edtimo e uma fraude.<\/p>\n
Os usu\u00e1rios geralmente n\u00e3o t\u00eam ideia de que s\u00e3o golpes. Na verdade, eles est\u00e3o discutindo apaixonadamente o papel da IA nos coment\u00e1rios e curtindo\/compartilhando as postagens, o que amplia ainda mais seu alcance.<\/p>\n
A maioria dessas p\u00e1ginas do Facebook leva a outras de destino de tipo semelhante, que incentivam os usu\u00e1rios a baixarem arquivos protegidos por senha que supostamente est\u00e3o relacionados a mecanismos de IA generativos.<\/p>\n
Estudo de caso: p\u00e1gina falsa do Midjourney AI<\/strong> O mesmo princ\u00edpio se aplica a outros indicadores de legitimidade da p\u00e1gina: quando as postagens na p\u00e1gina falsa t\u00eam in\u00fameras curtidas e coment\u00e1rios, isso indica que outros usu\u00e1rios j\u00e1 interagiram positivamente com o conte\u00fado, diminuindo a probabilidade de suspeita.<\/p>\n O objetivo principal dessa p\u00e1gina falsa do Facebook do Mid-Journey AI \u00e9 induzir os usu\u00e1rios a baixarem malware. Para dar um ar de credibilidade, os links para sites maliciosos s\u00e3o misturados com links para avalia\u00e7\u00f5es leg\u00edtimas do Midjourney ou redes sociais.<\/p>\n O primeiro link, ai[-]midjourney[.]net, possui apenas um bot\u00e3o Get Started. Esse bot\u00e3o eventualmente redireciona para o segundo site falso, midjourneys[.]info, que oferece o download do Midjourney AI gr\u00e1tis por 30 dias. Quando o usu\u00e1rio clica no bot\u00e3o, ele realmente baixa um arquivo chamado MidJourneyAI[.]rar do Gofile, uma plataforma gratuita de armazenamento e compartilhamento de arquivos.<\/p>\n Assim que o download termina, a v\u00edtima que espera ter baixado o instalador leg\u00edtimo do MidJourney \u00e9 induzida a executar um arquivo malicioso chamado Mid-Journey_Setup[.]exe . Esse arquivo de configura\u00e7\u00e3o falso fornece Doenerium, um infostealer de c\u00f3digo aberto, que foi observado em v\u00e1rios outros golpes, com o objetivo final de coletar os dados pessoais das v\u00edtimas.<\/p>\n O malware usa v\u00e1rios servi\u00e7os leg\u00edtimos, como Github, Gofile e Discord, como meio de comando e controle de comunica\u00e7\u00e3o e exfiltra\u00e7\u00e3o de dados. Assim, a conta do Github antivirusevasion69 \u00e9 usada pelo malware para entregar o webhook do Discord, que \u00e9 usado para relatar todas as informa\u00e7\u00f5es roubadas da v\u00edtima ao canal Discord do atacante.<\/p>\n Primeiro, o malware despacha uma mensagem de “Nova v\u00edtima” para o Discord, fornecendo uma descri\u00e7\u00e3o da m\u00e1quina infectada recentemente. A descri\u00e7\u00e3o inclui detalhes como o nome do PC, vers\u00e3o do sistema operacional, RAM, tempo de atividade e o caminho espec\u00edfico a partir do qual o malware foi executado. Essas informa\u00e7\u00f5es permitem que o atacante saiba com precis\u00e3o qual golpe ou isca levou \u00e0 instala\u00e7\u00e3o do malware.<\/p>\n O malware se esfor\u00e7a para coletar v\u00e1rios tipos de informa\u00e7\u00f5es de todos os principais navegadores, incluindo cookies, favoritos, hist\u00f3rico de navega\u00e7\u00e3o e senhas. Al\u00e9m disso, ele visa carteiras de criptomoedas, incluindo Zcash, Bitcoin, Ethereum e outras; e o malware ainda rouba credenciais de FTP do Filezilla e sess\u00f5es de v\u00e1rias plataformas sociais e de jogos.<\/p>\n Depois que todos os dados s\u00e3o roubados da m\u00e1quina de destino, eles s\u00e3o consolidados em um \u00fanico arquivo e carregados na plataforma de compartilhamento de arquivos Gofile. Posteriormente, o infostealer envia uma mensagem “Infectado” para Discord, contendo detalhes organizados sobre os dados que extraiu com sucesso da m\u00e1quina com um link para acessar o arquivo contendo as informa\u00e7\u00f5es roubadas.<\/p>\n \u00c9 interessante mencionar que a maioria dos coment\u00e1rios na p\u00e1gina falsa do Facebook s\u00e3o feitos por bots com nomes vietnamitas, e o idioma de bate-papo padr\u00e3o em um site falso do MidJourney \u00e9 vietnamita. Isso nos permite avaliar com confian\u00e7a baixa a m\u00e9dia que esta campanha \u00e9 executada por um agente de amea\u00e7as afiliado ao Vietn\u00e3.<\/p>\n A Ascens\u00e3o dos Infostealers<\/strong> Seu alvo principal parece ser os dados associados a contas do Facebook e o roubo de p\u00e1ginas do Facebook. Parece que os cibercriminosos est\u00e3o tentando abusar das p\u00e1ginas existentes de grande p\u00fablico, incluindo or\u00e7amentos de publicidade, portanto, mesmo muitas p\u00e1ginas com grande alcance podem ser exploradas dessa maneira para disseminar ainda mais o golpe.<\/p>\n Outra campanha que explora a popularidade das ferramentas de IA usa uma isca \u201cGoogleAI\u201d para enganar os usu\u00e1rios a baixar os arquivos maliciosos, os quais cont\u00eam malware em um \u00fanico arquivo de lote, como GoogleAI[.]bat . Da mesma forma que muitos outros ataques como esse, ele usa uma plataforma de compartilhamento de c\u00f3digo-fonte aberto, desta vez o Gitlab, para recuperar o pr\u00f3ximo est\u00e1gio.<\/p>\n A carga \u00fatil (payload) final est\u00e1 localizada no script python chamado libb1[.]py . Este \u00e9 um ladr\u00e3o de navegador baseado em python que tenta roubar dados de login e cookies de todos os principais navegadores, e os dados roubados s\u00e3o exfiltrados via Telegram.<\/p>\n As campanhas descritas anteriormente dependem extensivamente de v\u00e1rios servi\u00e7os gratuitos e de redes sociais, bem como um conjunto de ferramentas de c\u00f3digo aberto, carecendo de sofistica\u00e7\u00e3o significativa.<\/p>\n No entanto, nem todas as campanhas seguem esse padr\u00e3o. A Check Point Research descobriu recentemente muitas campanhas sofisticadas que empregam an\u00fancios do Facebook e contas comprometidas disfar\u00e7adas, entre outras coisas, como ferramentas de IA.<\/p>\n Essas campanhas avan\u00e7adas introduzem um novo e oculto rob\u00f4 ladr\u00e3o, ByosBot, que opera sob o radar. O malware abusa do dotnet bundle (arquivo \u00fanico), formato independente que resulta em detec\u00e7\u00e3o est\u00e1tica muito baixa ou nenhuma. O ByosBot est\u00e1 focado em roubar informa\u00e7\u00f5es de contas do Facebook, tornando essas campanhas autossustent\u00e1veis ou autoalimentadas: os dados roubados podem ser posteriormente utilizados para propagar o malware por meio de contas comprometidas recentemente.<\/p>\n Conclus\u00e3o<\/strong> Al\u00e9m disso, o crescente valor dos dados usados para ataques direcionados, como Business E-mail Compromise (BEC) ou comprometimento de e-mail corporativo e spear-phishing, alimentou a prolifera\u00e7\u00e3o de infostealers.<\/p>\n Os servi\u00e7os aut\u00eanticos de IA possibilitam que os cibercriminosos criem e implementem golpes fraudulentos de uma forma muito mais sofisticada e cr\u00edvel. Portanto, \u00e9 essencial que indiv\u00edduos e organiza\u00e7\u00f5es se eduquem, estejam cientes dos riscos e permane\u00e7am atentos contra as t\u00e1ticas dos cibercriminosos. As solu\u00e7\u00f5es avan\u00e7adas de seguran\u00e7a continuam sendo importantes na prote\u00e7\u00e3o contra essas amea\u00e7as em evolu\u00e7\u00e3o.<\/p>\n Como identificar phishing e falsifica\u00e7\u00e3o de identidade<\/strong>
Os agentes de amea\u00e7as por tr\u00e1s de certas p\u00e1ginas maliciosas do Facebook fazem de tudo para garantir que pare\u00e7am aut\u00eanticas, refor\u00e7ando a aparente credibilidade social. Quando um usu\u00e1rio desavisado pesquisa por \u201cMidjourney AI\u201d no Facebook, e encontra uma p\u00e1gina com 1,2 milh\u00e3o de seguidores, \u00e9 prov\u00e1vel que acredite que seja uma p\u00e1gina aut\u00eantica.<\/p>\n
A maioria das campanhas que usam p\u00e1ginas falsas e an\u00fancios maliciosos no Facebook acaba entregando algum tipo de malware para roubo de informa\u00e7\u00f5es. Em junho de 2023, a CPR e outras empresas de seguran\u00e7a observaram v\u00e1rias campanhas que distribuem extens\u00f5es de navegador maliciosas com o objetivo de roubar informa\u00e7\u00f5es. <\/p>\n
O crescente interesse p\u00fablico em solu\u00e7\u00f5es baseadas em IA levou os agentes de amea\u00e7as a explorar essa tend\u00eancia, principalmente aqueles que distribuem infostealers. Esse aumento pode ser atribu\u00eddo aos mercados clandestinos em expans\u00e3o, onde os intermedi\u00e1rios (Initial Access Brokers) se especializam em adquirir e vender acesso ou credenciais para sistemas comprometidos. <\/p>\n
Os ataques de phishing usam truques para convencer a v\u00edtima de que s\u00e3o leg\u00edtimos. Algumas das maneiras de detectar um ataque de phishing s\u00e3o:<\/p>\n