Cyberkriminelle erstellen zunehmend täuschend echt aussehende Websites, die angeblich beliebte KI-Tools anbieten. Stattdessen verbreiten sie Ransomware und andere bösartige Software. Das zeigt eine aktuelle Untersuchung von Talos Intelligence, der Abteilung für Cyber-Bedrohungsanalysen von Cisco.
KI-Tools als Köder
Die gefälschten Websites ähneln denjenigen bekannter KI-Plattformen wie ChatGPT, InVideo AI und Nova AI. Zum Beispiel hat Cisco Talos ein gefälschtes ChatGPT 4.0-Installationspaket auf öffentlichen Servern entdeckt, das in Wirklichkeit die Ransomware Lucky_Gh0$t verbreitet.
Die bösartige .zip-Datei enthält neben der Ransomware auch legitime Microsoft KI-Tools, damit die Angriffe die Virenerkennung umgehen können. Lucky_Gh0$t verschlüsselt kleinere Dateien, während größere Dateien gelöscht und durch Junk-Dateien derselben Größe ersetzt werden. Die Opfer erhalten dann eine individuelle ID, mit der sie über die Messaging-Plattform Session Lösegeldzahlungen aushandeln können. Die Ransomware ist eine Variante von Yashma, die wiederum aus der Ransomware-Familie Chaos stammt.
„Der Hype um KI bietet Cyberkriminellen eine sehr gute Möglichkeit“, sagt Thorsten Rosendahl, Technical Leader bei Cisco Talos. „User sind begeistert von neuen Tools, prüfen aber deren Quelle oft nicht gut genug. Wir sehen auch, dass vermeintlich sehr gute Angebote wie ein kostenloser 12-monatiger Zugang kaum kritisch hinterfragt werden. Wenn etwas zu gut erscheint, um wahr zu sein, ist es das meist auch. Bei neuen Tools sollten User besonders wachsam sein.“
Gefälschte Lead-Plattformen liefern Malware
Eine weitere bösartige Domain, die von Cisco Talos aufgedeckt wurde, ist novaleadsai[.]com, welche die seriöse novaleads.appimitiert. Die echte Marketing-Plattform hilft Unternehmen, die Lead-Konvertierung durch verschiedene Dienstleistungen und leistungsorientierte Modelle zu verbessern.
Das Installationsprogramm der betrügerischen Website verteilt allerdings die Ransomware CyberLock. Diese behauptet gegenüber dem Opfer, vollen Zugriff auf dessen sensible Geschäftsdokumente, persönliche Dateien und vertrauliche Datenbanken zu haben. Die Angreifer fordern ein Lösegeld in Höhe von 50.000 US-Dollar, zahlbar in der Kryptowährung Monero (XMR). Angeblich soll die Summe für humanitäre Hilfe in Regionen wie Palästina, Ukraine, Afrika und Asien verwendet werden. Um die Verfolgung zu erschweren, wird die Zahlung auf zwei separate Wallets aufgeteilt.
Numero: ein gefälschtes KI-Video-Tool
Cisco Talos entdeckte auch Numero. Die fortschrittliche Malware gibt sich als Installationsprogramm für das legitime KI-Tool InVideo AI aus – eine Online-Plattform zur Erstellung von Marketing-Videos, Social-Media-Inhalten und Präsentationen. Numero beschädigt jedoch die grafische Oberfläche von Windows-Systemen. Dazu überschreibt die Malware kontinuierlich Dateinamen und erzeugt eine Schleife, die das System unbrauchbar macht.
Wichtige Sicherheitstipps
Zum Schutz vor diesen Bedrohungen empfiehlt Cisco Talos:
- Überprüfen Sie immer die URL einer Website: Stellen Sie sicher, dass der Domänenname genau mit dem des offiziellen Anbieters übereinstimmt.
- Laden Sie Software nur von offiziellen Quellen oder seriösen App-Stores herunter.
- Verwenden Sie Sicherheitslösungen für Endgeräte und halten Sie die gesamte Software auf dem neuesten Stand.
- Seien Sie vorsichtig bei verdächtigen E-Mails oder Werbung für KI-Tools.
Weitere Informationen gibt es im Blogbeitrag von Cisco Talos.
