Az ESET kutatói szerint az adattolvaj kártevők (infostealers) 2024 első fél évében olyan jól ismert generatív MI-eszközöknek kezdték álcázni magukat, mint a Midjourney, a Sora és a Google Gemini.
A mobilokat veszélyeztető GoldPickaxe kártevő pedig képes arcfelismeréssel összefüggő adatokat lopni, amelyek segítségével deepfake-videókat hoz létre. Dinamikusan terjednek az Android-rendszereket érintő pénzügyi fenyegetések, valamint a mobilbankoláshoz kapcsolódó kártékony programok is. Legyen szó rosszindulatú banki szoftverekről vagy éppen kriptolopásokról.
MI-eszközök a támadásokban
A 2024 első fél évére vonatkozó riportjukban az ESET kutatói beszámolnak a Rilide Stealer nevű kártevőről. Ez a potenciális áldozatok becserkészése érdekében olyan generatív MI-asszisztensek nevével él vissza, mint az OpenAI Sora és a Google Gemini. A felhasználókat Facebook-hirdetésekkel veszik rá a telepítésre. Ezek azt ígérik, hogy az OpenAI Sora vagy a Google Gemini hivatalos weboldalára vezetnek. Bár a bővítmény a Google Fordítónak álcázza magát, valójában egy rosszindulatú kód, amelynek fő célja a felhasználók facebookos hitelesítő adatainak begyűjtése.
Tavaly augusztus óta az ESET telemetria több mint 4000 ilyen rosszindulatú telepítési kísérletet rögzített.
Egy másik adattolvaj szoftver, a Vidar a Midjourney mesterségesintelligencia-képgenerátor windowsos asztali alkalmazásának adja ki magát. Annak ellenére, hogy a Midjourney MI-modellje csak a Discordon keresztül érhető el. A Facebook-hirdetéseken, Telegram-csoportokon és dark webes fórumokon keresztül terjesztett kártevő képes naplózni a billentyűleütéseket, ellopni a böngészők által tárolt hitelesítő adatokat és a kriptopénztárcák adatait.
Csizmazia-Darab István, az ESET termékeit forgalmazó Sicontact Kft. kiberbiztonsági szakértője szerint
a magyarországi viszonyok között a korábban megszokott gyenge helyesírással készült átverések helyett újabban egyre gyakrabban érkeznek MI segítségével generált jó minőségű, magyar nyelvű szövegek, illetve megjelentek a magyar hírességek nevével visszaélő, szoftveres úton generált fotós és deepfake videós csalások is. Az MI- és deepfake-támadások veszélyeiről rendszeresen szó esik az ESET kiberbiztonsági podcastje, a Hackfelmetszők – Veled is megtörténhet! epizódjaiban is.
Deepfake-videókkal kicsalt pénzek
Az arcfelismerési adatok a digitális hitelesítési folyamat fontos részévé váltak, ezért a kiberbűnözők figyelmét is felkeltették. A mobilokat veszélyeztető GoldPickaxe kártevő képes arcfelismeréssel összefüggő adatokat lopni, hogy megtévesztő deepfake-videókat hozzon létre, amelyeket aztán pénzügyi tranzakciók hitelesítésére használnak. A GoldPickaxe-nel Android- és iOS-verziója is van, és elsősorban délkelet-ázsiai áldozatokat vesz célba kártékony alkalmazásokon keresztül.
Gamerek elleni támadások
Az adattolvajok a hivatalos játékplatformokat megkerülő gamereket is megtámadták. A közelmúltban ugyanis kiderült, hogy néhány feltört videójáték és az online többszereplős játékokban használt csaló (cheat) eszközök olyan adattolvaj kártevőket tartalmaznak, mint a Lumma Stealer és a RedLine Stealer.
Az ESET telemetriája 2024 első fél évében már többször észlelte a RedLine Stealert spanyolországi, japán és németországi támadások során. A legutóbbi Redline-támadáshullámok egyre erősödnek, az idei év első felében már harmadával meghaladták az előző időszakban tapasztalt mértéket.
Sebezhető WordPress-bővítmények
A WordPress-bővítmények sebezhetőségének kihasználása is nagyon gyakori. A jól ismert Balada Injector csoport 2024 első felében is folytatta tevékenységét. Ezzel több mint 20 ezer weboldalt veszélyeztetett, az ESET telemetriája pedig több mint 400 ezer alkalommal jelezte a csoport legutóbbi akciójában használt újabb variánsok megjelenését.
A zsarolóprogramok terén a korábbi vezető szereplőt, a LockBitet a Chronos-művelet, vagyis a bűnüldöző szervek által 2024 februárjában végrehajtott globális akció időlegesen letaszította a trónról. Bár az ESET-telemetria két figyelemre méltó LockBit-kampányt is észlelt 2024 első fél évében, ezekről kiderült, hogy olyan, nem a LockBithez tartozó csoportok támadásai voltak, amelyek a kiszivárogtatott LockBit-program forráskódját használták fel.
Az ESET jelentése emellett beszámol egy igen fejlett, és továbbra is intenzíven terjedő szerveroldali kártevő kampányról. Az Ebury csoport az általuk használt rosszindulatú szoftvereket és botneteket hátsóajtó-programként alkalmazta, amellyel közel 400 ezer Linux-, FreeBSD- és OpenBSD-szervert támadott meg, és ezek közül 100 ezer még mindig kompromittálva volt 2023 végén, sőt a megfigyelések szerint a kártevő azóta is aktívan terjed.
Az ESET Threat Report H1 2024 című angol nyelvű kiadványa a welivesecurity.com blogon olvasható.
