Οι χάκερ εκμεταλλεύονται το AI για διάδοση ransomware

secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More

Οι χάκερ εκμεταλλεύονται το AI για διάδοση ransomware
https://www.secnews.gr/649734/hacker-ekmetallevontai-ai-diadosi-ransomware/
May 30th 2025, 12:53
by Absenta Mia

Χάκερ που σχετίζονται με λιγότερο γνωστά έργα ransomware και malware, χρησιμοποιούν πλέον εργαλεία Τεχνητής Νοημοσύνης (AI) ως δολώματα, για να μολύνουν ανυποψίαστα θύματα με κακόβουλο περιεχόμενο.
Δείτε επίσης: Interlock ransomware: Η συμμορία χρησιμοποιεί το νέο NodeSnake RAT


Η εξέλιξη αυτή ακολουθεί μια τάση που ενισχύεται από πέρυσι, όταν προηγμένοι κακόβουλοι παράγοντες άρχισαν να χρησιμοποιούν δημιουργούς deepfake περιεχομένου για να διαδώσουν κακόβουλο λογισμικό. Αυτού του είδους τα δολώματα έχουν υιοθετηθεί ευρέως από ομάδες που διαχειρίζονται κακόβουλο λογισμικό τύπου info-stealer και επιχειρήσεις ransomware που στοχεύουν στη διείσδυση σε εταιρικά δίκτυα.
Οι ερευνητές της Cisco Talos εντόπισαν ότι την ίδια τεχνική ακολουθούν πλέον και μικρότερες ομάδες ransomware όπως οι CyberLock, Lucky_Gh0$t και ένα νέο κακόβουλο λογισμικό με την ονομασία Numero. Τα κακόβουλα φορτία προωθούνται μέσω τεχνικών SEO poisoning και κακόβουλης διαφήμισης (malvertising), με σκοπό να εμφανίζονται ψηλά στα αποτελέσματα αναζήτησης για συγκεκριμένους όρους.
Το CyberLock είναι ransomware βασισμένο σε PowerShell, το οποίο διανέμεται μέσω ενός ψεύτικου ιστότοπου εργαλείου Τεχνητής Νοημοσύνης (novaleadsai[.]com), που προσποιείται ότι είναι ο αυθεντικός ιστότοπος novaleads.app. Τα θύματα παρασύρονται από την προσφορά δωρεάν 12μηνης συνδρομής στο εργαλείο AI, οδηγώντας τα να κατεβάσουν έναν φορτωτή .NET που εγκαθιστά το ransomware.
Αφού εκτελεστεί στο σύστημα του θύματος, το CyberLock κρυπτογραφεί αρχεία σε πολλαπλές κατατμήσεις δίσκου, προσθέτοντας την κατάληξη .cyberlock στα κλειδωμένα αρχεία. Το σημείωμα λύτρων απαιτεί την καταβολή ποσού 50.000 δολαρίων σε κρυπτονόμισμα Monero, το οποίο είναι δύσκολο να εντοπιστεί, υποστηρίζοντας ότι τα χρήματα θα χρησιμοποιηθούν για «ανθρωπιστικούς σκοπούς» στην Παλαιστίνη, την Ουκρανία, την Αφρική και την Ασία.
Δείτε ακόμα: Το DragonForce ransomware καταχράται το SimpleHelp
Το Lucky_Gh0$t είναι ένα νέο στέλεχος ransomware που προέρχεται από το Yashma, το οποίο με τη σειρά του βασίζεται στο Chaos ransomware.


Αναλυτές της Cisco παρατήρησαν τη διανομή του μέσω ψεύτικου εγκαταστάτη του ChatGPT, με το όνομα "ChatGPT 4.0 full version – Premium.exe", συσκευασμένο σε αυτο-εξαγόμενο αρχείο (self-extracting archive). Το πακέτο περιλαμβάνει αυθεντικά εργαλεία AI ανοιχτού κώδικα της Microsoft, μαζί με το κακόβουλο φορτίο του ransomware, πιθανότατα για να παρακάμπτει τον εντοπισμό από προγράμματα antivirus.
Εάν εκτελεστεί, το κακόβουλο λογισμικό κρυπτογραφεί αρχεία μικρότερα από 1,2GB, προσθέτοντας τυχαίες τετραψήφιες καταλήξεις. Τα μεγαλύτερα αρχεία αντικαθίστανται με άχρηστα δεδομένα ίδιου μεγέθους και διαγράφονται. Τα θύματα του Lucky_Gh0$t λαμβάνουν ένα προσωπικό αναγνωριστικό (ID) και οδηγίες για να επικοινωνήσουν με τον επιτιθέμενο μέσω της ασφαλούς πλατφόρμας ανταλλαγής μηνυμάτων Session, για διαπραγματεύσεις λύτρων και αποκρυπτογράφηση.
Τέλος, ένα νέο κακόβουλο λογισμικό με την ονομασία Numero εμφανίζεται ως εγκαταστάτης του InVideo AI, αλλά στην πραγματικότητα έχει σχεδιαστεί για να στοχεύει συστήματα Windows.
Το λογισμικό διανέμεται μέσω ενός dropper που περιλαμβάνει ένα batch αρχείο, VB script και ένα εκτελέσιμο αρχείο με την ονομασία wintitle.exe. Κατά την εκτέλεσή του, λειτουργεί σε άπειρο βρόχο (infinite loop), προκαλώντας συνεχή αλλοίωση στο γραφικό περιβάλλον του χρήστη, αντικαθιστώντας τίτλους παραθύρων, κουμπιά και περιεχόμενο με την αριθμητική ακολουθία "1234567890".
Δείτε επίσης: Ιρανός ομολόγησε την εμπλοκή του στο Robbinhood ransomware
Βάσει των παραπάνω, γίνεται φανερό ότι οι κυβερνοεπιθέσεις εξελίσσονται ραγδαία, με τους δράστες να αξιοποιούν την αυξανόμενη δημοτικότητα της τεxνολογίας AI ως μέσο διάδοσης ransomware. Πλέον, δεν πρόκειται μόνο για μαζικές επιθέσεις, αλλά για στοχευμένες εκστρατείες που συνδυάζουν κοινωνική μηχανική, πλαστά εργαλεία AI, και τεχνικές αποφυγής εντοπισμού, όπως η χρήση πραγματικών αρχείων της Microsoft ή η διανομή μέσω SEO poisoning. Αυτή η νέα γενιά κακόβουλων λογισμικών υποδεικνύει ότι οι οργανισμοί και οι χρήστες πρέπει να είναι ιδιαίτερα επιφυλακτικοί με "δωρεάν" ή "premium" AI εφαρμογές που προβάλλονται μέσω μη επίσημων καναλιών. Η πρόληψη και η ενημέρωση είναι πιο κρίσιμες από ποτέ.
Πηγή: bleepingcomputer



You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz