In einer schockierenden Enthüllung haben Online-Betrüger den Hype um generative künstliche Intelligenz in eine bösartige Kampagne umgewandelt, die seit einem Jahr andauert. Laut einem Bericht der Bedrohungsaufklärungsfirma Google Mandiant haben diese Betrüger Informationsdiebe und Hintertüren unter dem Deckmantel von KI-Programmen verteilt.
Die Täuschungsstrategie
In einem cleveren Schachzug nutzt die Bedrohungsgruppe UNC6032, die mutmaßlich mit Vietnam in Verbindung steht, Tausende irreführende Anzeigen, die prominent auf Plattformen wie Facebook und LinkedIn zu finden sind. Diese Anzeigen, die sich als legitime Unternehmen wie Luma AI, Canva Dream Lab und Kling AI ausgeben, führen ahnungslose Benutzer zu nahezu identischen gefälschten Websites. Dort erhalten die Benutzer anstelle der versprochenen KI-generierten Inhalte eine mit Malware beladene Datei, die eigentlich zur KI-Videogenerierung bestimmt war.
Eine weitreichende Auswirkung
Mandiants gründliche Untersuchung ergab, dass diese Anzeigen allein innerhalb der Europäischen Union etwa 2.3 Millionen Menschen erreicht haben. Diese alarmierenden Daten spiegeln frühere Berichte der Sicherheitsfirma Morphisec wider, die ähnliche Beobachtungen melden.
Die ausweichenden Techniken
Was UNC6032 auszeichnet, ist ihre Beweglichkeit beim Vermeiden von Entdeckung. Neu registrierte Domains werden zügig in Anzeigen genutzt, manchmal innerhalb weniger Stunden nach dem Start. Diese Domains werden von kompromittierten Facebook-Konten unterstützt, über die kontinuierlich irreführende Anzeigen veröffentlicht werden. Laut Berichten haben einige LinkedIn-Anzeigen möglicherweise bis zu 250.000 Personen über die betrügerische Seite klingxai.com erreicht.
Malware als KI getarnt
Die gefälschten Seiten ahmen echte Benutzeroberflächen und Logos von KI-Diensten nach. Eine betrügerische Seite, die als ‘Luma Dream AI Machine’ dargestellt wird, bot normale Videokreationsoptionen. Bei Benutzerinteraktion gaukelte die Seite eine Verarbeitungssequenz vor, bevor sie eine ‘Download’-Schaltfläche anzeigte, die ein schädliches Zip-Archiv verbarg. Die in diesem Archiv enthaltene Malware Starkveil besteht aus modularen Familien wie Grimpull, XWorm und Frostrift, die zum Datendiebstahl und zur Systemkompromittierung fähig sind.
Innovationen bei der Malware-Verbreitung
In Rust entwickelt, verwendet Starkveil geniale Techniken wie den Doppel-Erweiterungstrick mit unsichtbaren Braille-Unicode-Zeichen, um schädliche ausführbare Dateien unter harmlosen Dateitypen zu verbergen. Nach der Ausführung gibt Starkveil eingebettete Archive in vertrauenswürdige Windows-Prozesse frei und nutzt Verschleierung, um unentdeckt zu bleiben.
Eine kontinuierliche Bedrohung
Regelmäßige Updates an der Infrastruktur der bösartigen Gruppe ermöglichen es ihnen, ständig sich entwickelnde Payloads zu hosten. Ihre widerstandsfähigen Taktiken beinhalten dynamische Verschleierung von Payloads, was die statische Erkennung zunehmend erschwert. Die Malware gewinnt weiterhin an Beständigkeit, indem sie AutoRun-Registrierungsschlüssel einfügt und schädliche DLLs über legitime ausführbare Routen lädt.
Gesetzgeberische und Cybersicherheitsreaktionen
Der Bericht hebt Maßnahmen von Meta hervor, um diese schädlichen Anzeigen zu demontieren und die damit verbundenen Domains zu beseitigen. Darüber hinaus hat LinkedIn Transparenz-Tools eingeführt, die Einblicke in die Reichweite von Anzeigen und deren Zielmuster bieten und Ermittlern helfen, das Ausmaß der Exposition zu beurteilen.
Laut GovInfoSecurity dient diese bösartige Kampagne als abschreckende Erinnerung an den andauernden Kampf gegen die Cyberkriminalität und fordert Wachsamkeit und schnelle Anpassung von Cybersicherheitsorganisationen weltweit.