Prikaži glavni meni

Oglasi za lažne AI video generatore na Facebook-u i LinkedIn-u šire malvere

Društvene mreže, 29.05.2025, 11:30 AM

Mandiant Threat Defens upozorava korisnike na prevaru iza koje stoji grupa UNC6032 koja na društvenim mrežama postavlja oglase za lažne AI video alate kao što su Luma AI i Canva Dream Lab, a od žrtava ove kampanje krade podatke za prijavu i podatke o kreditnim karticama.

Grupa UNC6032, za koju se veruje da je u Vijetnamu, postavlja obmanjujuće oglase na platformama poput Facebook-a i Linkedin-a od sredine 2024. godine. Ovi oglasi usmeravaju korisnike na lažne veb sajtove koji nude usluge generisanja AI videa.

Umesto onoga što očekuju, žrtve preuzimaju malvere, uključujući i infostealer-e i backdoor malvere, koji kradu osetljive informacije poput podataka za prijavu i ličnih podataka. Ukradeni podaci se verovatno prodaju na ilegalnim onlajn tržištima.

Ova vrsta napada je veliki problem za sve, od pojedinaca do velikih kompanija. Prema podacima Mandiant-a, ukradeni prodaci za prijavu su drugi najčešći način na koji sajber kriminalci ulaze u sisteme. Mandiant je pronašao hiljade ovakvih oglasa, koje su videli milioni korisnika, a veruje se da su slične kampanje aktivne i na drugim društvenim mrežama.

Na primer, jedan specifičan napad koji je Mandiant istraživao počeo je sa Facebook oglasom za Luma Dream AI Machine. Kada korisnik klikne na „Start Free Now“, vodi se kroz niz koraka koji oponašaju pravi proces kreiranja AI videa.

Nakon trake za učitavanje, pojavljuje se dugme za preuzimanje, koje zatim instalira malver umesto videa. Napadači koriste trik sa skrivenim znakovima i lažnom .mp4 ikonom da bi fajlovi izgledali bezopasno, iako su zapravo opasni izvršni fajlovi.

Malver koji je korišćen u ovim napadima, koji Mandiant prati kao STARKVEIL, može prikazivati lažne poruke o grešci kako bi prevario korisnike da ponovo otvore program. Malver zatim instalira druge opasne alate poput XWORM-a, FROSTRIFT i GRIMPULL.

Ovi alati omogućavaju napadačima da kontrolišu računar, kradu više informacija, snimaju pritiske na tastere i proveravaju bezbednosni softver. GRIMPULL, na primer, može da preuzme i pokrene Tor da bi se povezao sa serverima kriminalaca, dok XWORM šalje ukradene informacije napadačima putem Telegrama.

Mandiant Threat Defense sarađuje sa kompanijama Meta i LinkedIn u borbi protiv ove kampanje. Iako je Meta uklonila mnoge od ovih oglasa, novi se pojavljuju svakodnevno. Ova pretnja zahteva stalnu saradnju u tehnološkoj industriji kako bi se zaštitili korisnici.

AI alati postaju sve popularniji, pa je logično da će sajber kriminalci nastaviti da zloupotrebljavaju interesovanje korisnika kojima se savetuje da budu oprezni prilikom isprobavanja novih AI alata i da provere adresu veb sajta pre nego što bilo šta urade.