Sztuczna inteligencja to dziś jedno z najgorętszych haseł w świecie technologii — i właśnie tę popularność coraz śmielej wykorzystują cyberprzestępcy. Rosnące zainteresowanie nowymi narzędziami AI, takimi jak ChatGPT, InVideo AI czy Nova AI, sprawia, że użytkownicy często nieświadomie ufają stronom i aplikacjom, które tylko z pozoru wyglądają wiarygodnie.
Z najnowszego raportu Cisco Talos wynika, że oszuści tworzą fałszywe strony internetowe łudząco przypominające znane platformy AI. Celem tych działań jest infekowanie komputerów użytkowników ransomware oraz innym złośliwym oprogramowaniem, które może prowadzić do poważnych strat finansowych, utraty danych czy całkowitego zablokowania systemów.
Cyberoszustwa pod przykrywką: popularne narzędzia AI jako przynęta
Atakujący celowo wybierają rozpoznawalne i powszechnie używane narzędzia, aby zwiększyć szanse na oszukanie ofiar i skuteczne rozprzestrzenianie złośliwego oprogramowania. Przestępcy tworzą fałszywe strony, które imitują takie platformy jak ChatGPT, InVideo AI czy Nova AI. Zespół Cisco Talos zidentyfikował fałszywy instalator „ChatGPT 4.0”, który w rzeczywistości zawiera ransomware o nazwie Lucky_Gh0$t. Złośliwe archiwum .zip oprócz samego ransomware zawiera również legalne narzędzia Microsoft AI, co pozwala oszustom ominąć zabezpieczenia antywirusowe. Lucky_Gh0$t szyfruje mniejsze pliki, natomiast większe usuwa i zastępuje plikami-śmieciami o identycznym rozmiarze. Ofiary otrzymują unikalny identyfikator, umożliwiający negocjacje okupu za pomocą bezpiecznego komunikatora Session. Ransomware jest wariantem Yashma, który z kolei wywodzi się z rodziny Chaos.
Cisco Talos odkryło również złośliwą stronę novaleadsai.com, imitującą legalną platformę novaleads.app, która wspiera firmy w konwersji leadów za pomocą modeli opartych na wydajności. Instalator z fałszywej witryny instaluje ransomware CyberLock, który rzekomo uzyskuje dostęp do poufnych dokumentów firmowych, danych osobowych i baz danych. Cyberprzestępcy żądają okupu w wysokości 50 000 USD, płatnego w kryptowalucie Monero (XMR). Twierdzą, że środki zostaną przeznaczone na pomoc humanitarną m.in. w Palestynie, Ukrainie, Afryce i Azji. Aby utrudnić śledzenie transakcji, płatność rozbita jest na dwa różne portfele kryptowalutowe.
Kolejnym przypadkiem, który odkrył zespół Cisco Talos jest złośliwe oprogramowanie o nazwie Numero, podszywające się pod legalne narzędzie AI do tworzenia filmów – InVideo AI. Fałszywy instalator po uruchomieniu uszkadza interfejs graficzny systemu Windows, nieustannie nadpisując nazwy plików i powodując zapętlone działanie, które uniemożliwia korzystanie z komputera.
Jak się chronić?
„Szał na punkcie AI to dla cyberprzestępców doskonała zasłona dymna” — mówi Jan Heijdra, specjalista ds. cyberbezpieczeństwa w Cisco. „Użytkownicy często zbyt łatwo ufają nowym narzędziom, nie weryfikując ich źródła ani nie podchodząc krytycznie do podejrzanie atrakcyjnych ofert, jak darmowy dostęp na 12 miesięcy. Jeśli coś wydaje się zbyt piękne, by było prawdziwe — najczęściej takie właśnie jest. Przy nowych technologiach szczególna czujność to podstawa”.
Cisco Talos zaleca:
- Zawsze sprawdzaj adres URL strony – upewnij się, że dokładnie odpowiada oficjalnej domenie.
- Pobieraj oprogramowanie tylko z oficjalnych źródeł lub renomowanych sklepów z aplikacjami.
- Korzystaj z oprogramowania zabezpieczającego (np. antywirusów) i regularnie aktualizuj wszystkie systemy.
- Uważaj na podejrzane e-maile i reklamy promujące narzędzia AI.
Więcej informacji można znaleźć na blogu Cisco Talos.
