Cybercriminelen verstoppen malware in nagemaakte AI-tools

Dit blijkt uit recent onderzoek van Talos Intelligence, de cyberdreigingsonderzoekstak van Cisco. De aanvallen maken gebruik van websites die sterk lijken op die van populaire AI-diensten, zoals ChatGPT, InVideo AI en Nova AI. Zo ontdekte Cisco Talos een vals ChatGPT 4.0-installatieprogramma, waarin de Lucky_Gh0$t ransomware verpakt zit. In het .zip-bestand zaten ook legitieme AI-tools van Microsoft, waarmee de criminele bende virusdetectie probeert te omzeilen.

Lucky_Gh0$t versleutelt kleine bestanden en verwijdert grotere bestanden, die vervolgens worden vervangen door een junkbestand van dezelfde grootte. Slachtoffers ontvangen een persoonlijke ID om via het beveiligde messengerplatform Session over losgeld te onderhandelen. De ransomware is afgeleid van Yashma, die zelf weer is gebaseerd op de Chaos-ransomware.

'Perfecte dekmantel'

“De AI-hype biedt cybercriminelen een perfecte dekmantel,” zegt Jan Heijdra, Field CTO security bij Cisco Nederland. “Gebruikers vertrouwen soms te snel op nieuwe tools zonder voldoende te controleren waar ze deze vandaan halen, of staan te weinig stil bij interessante promoties zoals gratis toegang voor de eerste 12 maanden. Als het te mooi klinkt, dat is het ook vaak zo. Zeker bij nieuwe tools is het raadzaam om waakzaam te blijven.”

Een ander kwaadaardig domein dat naar ransomware leidt, is novaleadsai.com, dat sterk lijkt op het legitieme novaleads.app. Dit platform helpt bedrijven bij het verhogen van conversie van leads via verschillende diensten. Het installatieprogramma bevat de CyberLock-ransomware, die claimt toegang te hebben tot geheime en zakelijke documenten, persoonlijke bestanden en vertrouwelijke databases. De cybercriminelen eisen 50.000 dollar losgeld, te betalen in Monero (XMR) cryptomunten. Volgens de daders wordt dit bedrag gebruikt voor humanitaire hulp aan regio’s in Palestina, Oekraïne, Afrika en Azië. De betaling wordt gespreid over twee verschillende wallets, wat het traceren bemoeilijkt.

Numero doet zich voor als AI-tool voor videobewerking

Met InVideo AI ontdekte Cisco Talos een derde legitieme AI-tool die door malware wordt nagebootst. Het onbekende ‘Numero’ imiteert de installer van InVideo AI, een online tool voor het maken van marketingvideo's en sociale media-inhoud. De ransomware creëert een loop die de grafische interface van een computer verstoort door continu bestandsnamen te overschrijven. Numero is ontworpen om Windows-systemen onklaar te maken.

Cisco deelt een aantal tips waarmee organisaties zich tegen de dreiging kunnen verdedigen:

• Controleer altijd de URL van de website en ga na of de domeinnaam exact overeenkomt met die van de officiële aanbieder.
• Download software uitsluitend van officiële bronnen of bekende app stores.
• Gebruik endpoint-beveiliging en zorg dat alle software up-to-date is.
• Let op verdachte e-mails of advertenties die AI-tools promoten.

Het volledige dreigingsrapport van Cisco Talos is hier te vinden.