(https://i.postimg.cc/0yJGDKfv/Malware-spyware.png) (https://postimages.org/)
Los generadores de imágenes y videos falsos de IA infectan Windows y macOS con el malware de robo de información Lumma Stealer y AMOS, que se utiliza para robar credenciales y billeteras de criptomonedas de los dispositivos infectados.
Lumma Stealer es un malware para Windows y AMOS es para macOS, pero ambos roban billeteras de criptomonedas y cookies, credenciales, contraseñas, tarjetas de crédito e historial de navegación de Google Chrome, Microsoft Edge, Mozilla Firefox y otros navegadores Chromium.
Estos datos se recopilan en un archivo y se envían de vuelta al atacante, donde puede usar la información en otros ataques o venderla en mercados de delitos cibernéticos.
Los generadores de imágenes falsas de IA impulsan a Lumma Stealer
Durante el último mes, los actores de amenazas han creado sitios web falsos que se hacen pasar por un editor de imágenes y videos de IA llamado EditPro.
Como descubrió el investigador de ciberseguridad g0njxa, los sitios se promocionan a través de resultados de búsqueda y anuncios en X que comparten videos políticos deepfake, como el presidente Biden y Trump disfrutando de un helado juntos.
(https://i.postimg.cc/yNZh2PHM/Fake-video-AI.png) (https://postimg.cc/d7JTyGD6)
Al hacer clic en las imágenes, se accede a sitios web falsos de la aplicación EditProAI. Editproai[.]pro se creó para difundir malware de Windows y editproai[.]org para difundir malware de macOS.
(https://i.postimg.cc/0j2w5GT2/Editproai-pro.png) (https://postimg.cc/47qdBc4r)
Los sitios tienen un aspecto profesional e incluso contienen el omnipresente banner de cookies, lo que les da un aspecto y una sensación de legitimidad.
Sin embargo, al hacer clic en los enlaces "Obtener ahora", se descargará un archivo ejecutable que simula ser la aplicación EditProAI. Para los usuarios de Windows, el archivo se llama "Edit-ProAI-Setup-newest_release.exe" [VirusTotal] y para macOS, se llama "EditProAi_v.4.36.dmg" [VirusTotal].
El malware de Windows está firmado por lo que parece ser un certificado de firma de código robado de Softwareok.com, un desarrollador de utilidades de software gratuito.
(https://i.postimg.cc/zBDBTz0x/Windows-malware-signed.png) (https://postimages.org/)
G0njxa dice que el malware utiliza un panel en "proai[.]club/panelgood/" para enviar datos robados, que luego pueden ser recuperados más tarde por los actores de amenazas.
Un informe de AnyRun muestra la ejecución de la variante de Windows, con el servicio sandbox detectando el malware como Lumma Stealer.
Si ha descargado este programa en el pasado, debe considerar que todas sus contraseñas guardadas, billeteras de criptomonedas y autenticaciones están comprometidas y restablecerlas de inmediato con contraseñas únicas en cada sitio que visite.
También debe habilitar la autenticación multifactor en todos los sitios sensibles, como intercambios de criptomonedas, banca en línea, servicios de correo electrónico y servicios financieros.
El malware infostealer ha experimentado un crecimiento masivo en los últimos años, con actores de amenazas que realizan operaciones globales masivas para robar las credenciales y tokens de autenticación de las personas.
Otras campañas que recientemente han impulsado a los ladrones de información incluyen el uso de vulnerabilidades de día cero, correcciones falsas a problemas de GitHub e incluso respuestas falsas en StackOverflow.
Las credenciales robadas se utilizan luego para violar redes corporativas, realizar campañas de robo de datos como las que vimos con las violaciones masivas de cuentas de SnowFlake y causar caos al corromper la información de enrutamiento de la red.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/fake-ai-video-generators-infect-windows-macos-with-infostealers/