Malware, Noticias

Atacantes distribuyen el malware Redline Stealer a través de herramientas de inteligencia artificial envenenadas

mayo 19, 2023
La popularidad de las herramientas de usuario final basadas en IA está aumentando. Desafortunadamente, también ha atraído a ciberdelincuentes que usan varios trucos de ingeniería social para atacara a sus víctimas.

Recientemente, se observó una campaña publicitaria maliciosa que abusaba del motor de búsqueda de Google para impulsar ejecutables maliciosos disfrazados de herramientas populares de inteligencia artificial como ChatGPT y Midjourney.

Abusar de Midjourney a través de una búsqueda envenenada

Los investigadores de Trendmicro han revelado detalles sobre las campañas publicitarias maliciosas en curso que anuncian Midjourney. Midjourney es una herramienta basada en IA que genera imágenes utilizando instrucciones proporcionadas en lenguaje natural.

La campaña muestra resultados de búsqueda envenenados por SEO para la palabra clave que redirigiría a los usuarios a sitios web maliciosos para eventualmente descargar Redline Stealer. Al hacer clic en los anuncios, la dirección IP del usuario se envía al servidor backend. Si la dirección IP pertenece a algún bot de rastreo web o si el usuario está visitando la URL escribiéndola manualmente, se muestra una versión no maliciosa del dominio para evitar la detección.

Sin embargo, si el usuario recibe anuncios maliciosos, se le entrega al visitante un ejecutable malicioso que se hace pasar por la versión de escritorio de Midjourney.

Es importante tener en cuenta que la herramienta Midjourney genuina solo está disponible a través de la versión web.

Proceso post-infección

Cuando se ejecuta el instalador malicioso (Midjourney-x64.msix), muestra una ventana de instalación falsa. Mientras tanto, un script malicioso de PowerShell (frank_obfus.ps1) se ejecuta en segundo plano.
Este script descarga la carga útil real, Redline Stealer, del servidor (openaijobs[.]ru) y lo ejecuta en la máquina infectada.
El ladrón de Redline procede con la exfiltración de datos confidenciales, incluidas credenciales, cookies web, información de archivos y datos de billetera de criptomonedas.

Para evadir la detección, la campaña utiliza la API de Telegram para su comunicación C2. Esta técnica combina el tráfico malicioso con el tráfico normal. Además, algunas variantes de la campaña maliciosa utilizan páginas web falsas de ChatGPT y Dall-E.

midjourneyredlinestealer

Comparte este Artículo

Artículos relacionados