Những tác nhân đe dọa liên quan đến các dự án phần mềm tống tiền và phần mềm độc hại ít được biết đến hiện sử dụng các công cụ trí tuệ nhân tạo (AI) làm mồi nhử để lây nhiễm các phần mềm độc hại cho những nạn nhân không nghi ngờ.

Sự phát triển lần này theo sau một xu hướng đã phát triển từ năm ngoái, bắt đầu với các tác nhân đe dọa tiên tiến sử dụng trình tạo nội dung deepfake để lây nhiễm phần mềm độc hại cho nạn nhân. Deepfake là phương tiện tổng hợp đã được điều khiển bằng kỹ thuật số để thay thế chân dung của người này bằng chân dung của người khác.

Những mồi nhử này đã được các tên điều hành phần mềm độc hại đánh cắp thông tin và các hoạt động phần mềm tống tiền cố gắng xâm phạm mạng công ty áp dụng rộng rãi.

Các nhà nghiên cứu của Cisco Talos đã phát hiện ra rằng, các nhóm phần mềm tống tiền nhỏ hơn có tên là CyberLock, Lucky_Gh0$t và một phần mềm độc hại mới có tên là Numero hiện cũng sử dụng kỹ thuật tương tự.

Các phần mềm độc hại được quảng bá thông qua đầu độc tối ưu hóa công cụ tìm kiếm (SEO) và quảng cáo độc hại để xếp hạng cao trong kết quả của công cụ tìm kiếm cho các thuật ngữ cụ thể.

Mạo danh công cụ AI

CyberLock là phần mềm tống tiền dựa trên PowerShell được phân phối thông qua một trang web công cụ AI giả mạo (novaleadsai[.]com) đóng giả là novaleads.app hợp pháp.

Nạn nhân bị dụ dỗ bởi các lời đề nghị đăng ký miễn phí 12 tháng, khiến họ tải xuống trình tải .NET triển khai phần mềm tống tiền.

Sau khi thực thi trên máy của nạn nhân, CyberLock mã hóa các tệp trên nhiều phân vùng đĩa, thêm phần mở rộng .cyberlock vào các tệp bị khóa.

Tiếp đến là có một ghi chú tiền chuộc, yêu cầu phải trả 50.000 đô la tiền chuộc bằng loại tiền điện tử Monero khó theo dõi và số tiền này sẽ hỗ trợ các mục đích nhân đạo ở Palestine, Ukraine, Châu Phi và Châu Á.

Lucky_Gh0$t là một loại phần mềm tống tiền mới có nguồn gốc từ Yashma, bản thân nó dựa trên phần mềm tống tiền Chaos.

Các nhà phân tích của Cisco đã quan sát thấy nó được phân phối dưới dạng trình cài đặt ChatGPT giả mạo ("ChatGPT 4.0 phiên bản đầy đủ - Premium.exe") được đóng gói trong một kho lưu trữ tự giải nén.

Gói này bao gồm các công cụ AI nguồn mở hợp pháp của Microsoft cùng với phần tải phần mềm tống tiền, có khả năng tránh được sự phát hiện của phần mềm diệt vi-rút.

Nếu được thực thi, nó sẽ mã hóa các tệp nhỏ hơn 1,2 GB, thêm phần mở rộng bốn ký tự ngẫu nhiên, trong khi các tệp lớn hơn sẽ được thay thế bằng tệp rác có cùng kích thước và bị xóa.

Nạn nhân của Lucky_Gh0$t sẽ nhận được ID cá nhân và được hướng dẫn liên hệ với kẻ tấn công thông qua nền tảng tin nhắn an toàn Session để đàm phán tiền chuộc và giải mã.

Cuối cùng, một phần mềm độc hại mới có tên Numero ngụy trang thành trình cài đặt InVideo AI nhưng được thiết kế để tấn công các hệ thống Windows.

Phần mềm độc hại được phân phối trong một trình thả chứa tệp hàng loạt, tập lệnh VB và tệp thực thi có tên là wintitle.exe.

Tệp thực thi trong một vòng lặp vô hạn, liên tục làm hỏng giao diện người dùng đồ họa của nạn nhân bằng cách ghi đè tiêu đề cửa sổ, nút và nội dung bằng chuỗi số "1234567890".

Mặc dù Numero không phá hủy hoặc mã hóa dữ liệu, nhưng phần mềm độc hại này khiến các hệ thống Windows mà nó lây nhiễm hoàn toàn không sử dụng được. Đồng thời, vòng lặp vô hạn mà nó chạy đảm bảo hệ thống bị "khóa" ở trạng thái bị hỏng về mặt hình ảnh này.

Khi nhiều tội phạm mạng cố gắng lợi dụng sự quan tâm ngày càng tăng của mọi người đối với các công cụ AI, chúng ta nên thận trọng với các tệp được tải xuống từ các trang web đáng ngờ.

Theo lời khuyên của các chuyên gia, người dùng chỉ tập trung vào các dự án AI lớn thay vì thử nghiệm các công cụ mới và tìm nguồn trình cài đặt từ các trang web chính thức thay vì theo các liên kết từ các kết quả được quảng cáo hoặc bài đăng trên mạng xã hội.