Zespół z TrendMicro odkrył kampanię wykorzystującą złośliwą reklamę, z udziałem aktora, który kradnie strony mediów społecznościowych (zwykle związane z fotografią), zmieniając ich nazwy, aby wydawały się powiązane z popularnymi edytorami zdjęć AI. Następnie cyberprzestępca tworzy złośliwe posty z linkami do fałszywych stron internetowych, które mają udawać witryny legalnych edytorów zdjęć. Aby zwiększyć ruch, sprawca promuje złośliwe posty za pośrednictwem płatnych reklam.
Gdy ofiary otwierają złośliwe strony internetowe, są manipulowane w taki sposób, aby odwiedziły sekcję pobierania i zainstalowały pakiet, który – jak można się spodziewać – nie jest edytorem zdjęć, ale legalnym narzędziem do zarządzania punktami końcowymi, wykorzystującym złośliwą konfigurację. Po pomyślnej instalacji narzędzie umożliwia zdalne zarządzanie urządzeniem. Następnie atakujący może wykorzystać funkcje narzędzia do pobrania i uruchomienia programów kradnących poświadczenia, co ostatecznie prowadzi do wykradzenia poufnych danych z komputera ofiary.
Analiza techniczna
Schemat ataku; źródło: TrendMicro.comAby przejąć kontrolę nad docelową stroną w mediach społecznościowych, atakujący najpierw wysyła do administratora wiadomości zawierające linki phishingowe, które mogą być albo bezpośrednimi linkami, albo ich skróconymi wersjami. Czasami adresy te nadużywają otwartego adresu URL przekierowania Facebooka, >, aby wyglądały bardziej legalnie. Przykład poniżej.
TrendMicro.comNadawca wiadomości zwykle używa pustego profilu z losowo generowanymi nazwami użytkowników, po których następuje kilka cyfr.
Jeśli operatorzy docelowych stron na Facebooku klikną spersonalizowane linki, zostanie im wyświetlony ekran podobny do pokazanego poniżej:
TrendMicro.comKliknięcie przycisku „Zweryfikuj swoje informacje teraz” prowadzi do fałszywej strony ochrony konta, która w kilku kolejnych krokach prosi użytkowników o informacje niezbędne do zalogowania się i przejęcia konta, takie jak numer telefonu, adres e-mail, data urodzenia i hasło.
Po podaniu przez cel wszystkich potrzebnych informacji atakujący kradnie jego profil i zaczyna publikować złośliwe reklamy, które łączą się z fałszywą domeną edytora zdjęć AI. W tym przypadku nazwa legalnego edytora zdjęć, który jest nadużywany, to Evoto.
Strona internetowa fałszywego narzędzia wygląda bardzo podobnie do oryginalnej, co pomaga oszukać ofiarę. W rzeczywistości pobiera i instaluje ona oprogramowanie do zarządzania punktami końcowymi.
Co ciekawe, JavaScript odpowiedzialny za pobieranie pakietu zawiera statystyki w zmiennej o nazwie download_count. W momencie pisania tego raportu jest około 16 000 odsłon dla wersji binarnej systemu Windows i 1200 odsłon dla wersji na system MacOS (która przekierowuje tylko do apple.com i nie zwraca żadnych plików binarnych).
Pobranym plikiem MSI jest w rzeczywistości darmowe i legalne narzędzia do zarządzania punktami końcowymi – ITarian. Narzędzie jest instalowane i samoczynnie rejestrowane na komputerze ofiary ze złośliwą konfiguracją, pozwalającą sterować zdalnie maszyną z serwera C&C atakującego.
Ostateczny ładunek to Lumma Stealer, którego początkowa komunikacja C&C charakteryzuje się dwoma kolejnymi żądaniami POST do ścieżki URL/api z typem zawartości x-www-form-urlencoded. Pierwsza zawartość żądania to act=life, po której następuje zawartość drugiego żądania, „act=recive_message&ver=<version>&lid=<id>&j=” (sic!), która zwraca zakodowaną w Base64 konfigurację stealera.
Pierwsze 32 bajty zdegradowanego bufora to klucz XOR – pozostałe bajty to zaszyfrowana konfiguracja. Odszyfrowana konfiguracja jest w formacie JSON i zawiera listę wszystkiego, co stealer ma ukraść.
Podsumowanie
Opisany scenariusz jest świetnym przykładem wykorzystania trendu AI do manipulowania i nakłaniania użytkowników, a nawet, jak widzimy, administratorów. Dodatkowo wektorem ataku są tutaj media społecznościowe, które zwykle nie są traktowane priorytetowo, jeżeli chodzi o zabezpieczenia i świadomość zagrożeń.
