La popularidad de las herramientas de usuario final basadas en IA está aumentando. Desafortunadamente, también ha atraído a ciberdelincuentes que usan varios trucos de ingeniería social para atacara a sus víctimas.
Recientemente, se observó una campaña publicitaria maliciosa que abusaba del motor de búsqueda de Google para impulsar ejecutables maliciosos disfrazados de herramientas populares de inteligencia artificial como ChatGPT y Midjourney.
Abusar de Midjourney a través de una búsqueda envenenada
Los investigadores de Trendmicro han revelado detalles sobre las campañas publicitarias maliciosas en curso que anuncian Midjourney. Midjourney es una herramienta basada en IA que genera imágenes utilizando instrucciones proporcionadas en lenguaje natural.
La campaña muestra resultados de búsqueda envenenados por SEO para la palabra clave que redirigiría a los usuarios a sitios web maliciosos para eventualmente descargar Redline Stealer. Al hacer clic en los anuncios, la dirección IP del usuario se envía al servidor backend. Si la dirección IP pertenece a algún bot de rastreo web o si el usuario está visitando la URL escribiéndola manualmente, se muestra una versión no maliciosa del dominio para evitar la detección.
Sin embargo, si el usuario recibe anuncios maliciosos, se le entrega al visitante un ejecutable malicioso que se hace pasar por la versión de escritorio de Midjourney.
Es importante tener en cuenta que la herramienta Midjourney genuina solo está disponible a través de la versión web.
Proceso post-infección
Cuando se ejecuta el instalador malicioso (Midjourney-x64.msix), muestra una ventana de instalación falsa. Mientras tanto, un script malicioso de PowerShell (frank_obfus.ps1) se ejecuta en segundo plano.
Este script descarga la carga útil real, Redline Stealer, del servidor (openaijobs[.]ru) y lo ejecuta en la máquina infectada.
El ladrón de Redline procede con la exfiltración de datos confidenciales, incluidas credenciales, cookies web, información de archivos y datos de billetera de criptomonedas.
Para evadir la detección, la campaña utiliza la API de Telegram para su comunicación C2. Esta técnica combina el tráfico malicioso con el tráfico normal. Además, algunas variantes de la campaña maliciosa utilizan páginas web falsas de ChatGPT y Dall-E.
Artículos relacionados
Día de Internet: Cómo ser un buen ciudadano digital
17 de mayo de 2023En pocas décadas la internet se volvió una parte esencial de nuestras vidas. Su uso cotidiano está presente en las aplicaciones y dispositivos que usamos en el hogar, el trabajo y otras múltiples tareas a través de aplicaciones y dispositivos. Pero el desarrollo de internet también involucra riesgos, muchos de los cuales ignoramos. Para convivir con los adelantos es importante cuidar nuestros hábitos en la internet y convertirnos en buenos ciudadanos digitales.
