A crescente adoção da Inteligência Artificial (IA) no mundo empresarial abriu novas avenidas para os cibercriminosos, que estão agora a esconder software malicioso em falsos instaladores de ferramentas de IA. Investigadores de cibersegurança da Cisco Talos revelaram uma nova onda de ameaças que inclui ransomware como o CyberLock e o Lucky_Gh0$t, bem como um malware destrutivo denominado Numero, todos eles disfarçados de aplicações legítimas.
A isca digital: como os criminosos enganam as vítimas
Estes falsos instaladores de ferramentas de IA são disseminados através de diversos canais online. Os criminosos utilizam técnicas de SEO poisoning (manipulação de resultados de motores de busca) para que os seus sites fraudulentos apareçam no topo dos resultados de pesquisa. Adicionalmente, recorrem a redes sociais e plataformas de mensagens, como o Telegram, para espalhar os links maliciosos.
As empresas, especialmente as dos setores de vendas, tecnologia e marketing, são os alvos primários. Isto deve-se ao facto de utilizarem frequentemente ferramentas de IA genuínas para automação de processos, análise de dados e interação com clientes. Conforme detalhado no relatório da Cisco Talos, partilhado com o Hackread.com, quando utilizadores desprevenidos descarregam estes instaladores aparentemente inofensivos, estão, na verdade, a abrir as portas dos seus sistemas a malware. Esta ação coloca em risco dados empresariais sensíveis, ativos financeiros e mina a confiança nas soluções de IA autênticas.
Cisco Talos expõe um trio perigoso de malware
A investigação da Cisco Talos identificou várias ameaças concretas que se aproveitam desta tática.
Observado pela primeira vez em fevereiro de 2024, o CyberLock apresenta-se como uma plataforma de monetização de leads baseada em IA chamada NovaLeadsAI. Os seus operadores criaram um site falso, ‘novaleadsaicom’, para imitar o legítimo ‘novaleads.app’, chegando ao ponto de oferecer um enganoso "acesso gratuito" durante o primeiro ano para atrair vítimas.
Após o download, um ficheiro chamado ‘NovaLeadsAI.exe’ instala o ransomware CyberLock. Escrito em PowerShell e com código C# incorporado, este ransomware encripta diversos tipos de ficheiros, incluindo documentos, folhas de cálculo, imagens e vídeos. Exige um resgate de 50.000 dólares (cerca de 46.000 euros à taxa de câmbio atual) em criptomoeda Monero (XMR).
Numa tática manipuladora, os cibercriminosos alegam falsamente que o valor do resgate será utilizado para apoiar ajuda humanitária em regiões como a Palestina, Ucrânia, África e Ásia. O CyberLock tenta ainda limpar o espaço livre no disco rígido através da ferramenta integrada do Windows ‘cipher.exe’, dificultando a recuperação de ficheiros eliminados.
Lucky_Gh0$t: o falso ChatGPT que traz o caos
Esta variante do ransomware Yashma (que faz parte da família Chaos ransomware) é distribuída através de falsos instaladores do ChatGPT, geralmente sob o nome ‘ChatGPT 4.0 full version – Premium.exe’. Este instalador malicioso inclui um ficheiro chamado ‘dwn.exe’, que é o ransomware propriamente dito, juntamente com ferramentas de IA legítimas da Microsoft, provavelmente para evitar a deteção.
O Lucky_Gh0$t encripta ficheiros com menos de 1.2GB e tem um comportamento destrutivo para ficheiros maiores, sobrescrevendo-os com um único carácter. As vítimas recebem um ID pessoal e são instruídas a usar uma plataforma de mensagens segura para comunicação.
Numero: o malware destrutivo que imita ferramentas de vídeo
Compilado pela primeira vez em janeiro de 2024, o Numero é um malware destrutivo recém-descoberto que imita o instalador do InVideo AI, uma popular ferramenta online de criação de vídeo. Trata-se de um malware manipulador de janelas que corre continuamente na máquina da vítima, tornando os sistemas Windows inutilizáveis ao interferir com a sua interface gráfica. Para evitar ser detetado, verifica a presença de ferramentas comuns de análise de malware, como o IDA, x64 debugger e OllyDbg.
Recomendações: como proteger-se destas ameaças
Perante estas ameaças em evolução, é crucial que tanto organizações como utilizadores individuais exerçam extrema cautela. Verifique sempre a origem das ferramentas de IA e descarregue software apenas de fornecedores fidedignos e sites oficiais. A atenção redobrada é a primeira linha de defesa contra estes ataques cada vez mais sofisticados.
Nenhum comentário
Seja o primeiro!