Los ciberdelincuentes continúan buscando nuevas formas de robar información privada y para ello se aprovechan de las nuevas necesidades surgidas de las herramientas de inteligencia artificial, y el resultado es que cada vez son más comunes los casos de suplantación de estas aplicaciones.
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ha descubierto cómo los ciberdelincuentes utilizan Facebook para atraer y estafar a sus víctimas y obtener sus contraseñas y datos privados.
En primer lugar, los criminales crean páginas o grupos falsos en la red social suplantando algunas de las herramientas de IA más utilizadas, como ChatGPT, Bard o Midjourney. De esta manera, además de la propia captación de víctimas, los ciberdelincuentes logran que éstas interactúen con las publicaciones, ya sea a través de simples «Me gusta» o incluso compartiendo el contenido, asegurando un mayor alcance.
Dentro de estas páginas falsas se ofrece un nuevo servicio o contenido especial relacionado con las plataformas de IA. Sin embargo, cuando el usuario hace clic en este, descarga sin saberlo un malware malicioso diseñado para robar sus contraseñas, monederos de criptomonedas y otra información guardada en su navegador.
A medio camino de Midjourney AI
Los ciberdelincuentes que están detrás de estas páginas maliciosas en Facebook hacen todo lo posible para asegurarse de que parezcan auténticas y aumentar su credibilidad. Cuando un usuario desprevenido busca «Midjourney AI» en Facebook y encuentra una página con 1.2 millones de seguidores, es probable que crea que se trata de una página de confianza.
El mismo principio se aplica a otros indicadores de legitimidad de la página: cuando las publicaciones en la página falsa tienen numerosos «me gusta» y comentarios, da la falsa sensación de que otros usuarios ya han interactuado positivamente con el contenido, lo que reduce las sospechas de las víctimas.
No obstante, los investigadores han detectado queuna gran parte de los comentarios e interaccionesdeestos puntos de encuentro en la red social son realizados por bots, mostrando en su mayoría nombres y mensajesen vietnamita, coincidiendo con el idioma predeterminado de las webs de destino promocionadas.
Y es que el objetivo principal de esta página falsa de Facebook de Mid-Journey AI es engañar a los usuarios para desviarles a un entorno fuera de la red social para que descarguen un malware.
El primer enlace, ai-midjourney[.]net, tan sól omuestra un único botón con el mensaje «Comenzar». Este botón redirige al segundo sitio falso, midjourneys[.]info, que ofrece descargar Midjourney AI de forma gratuita durante 30 días. Cuando el usuario hace clic en el botón, en realidad descarga un archivo llamado MidJourneyAI.rar desde Gofile, una plataforma de intercambio y almacenamiento de archivos gratuita.
Una vez que se completa la descarga, la víctima, que espera haber descargado el instalador legítimo de MidJourney, ejecuta un archivo malicioso camuflado bajo el nombre “Mid-Journey_Setup.exe”.
Este archivo de configuración falso instala Doenerium, un infostealer de código abierto que se ha observado en otras estafas, que actúa con el objetivo final de recopilar los datos personales de las víctimas. El malware se almacena a sí mismo y todos sus múltiples archivos y directorios auxiliares en la carpeta TEMP del sistema operativo.
Tras esto, utiliza varios servicios legítimos como Github, Gofile y Discord como medios de comunicación y exfiltración de datos para el control y comando. Así, a través de la cuenta de Github“antivirusevasion69”, el malware envia un webhook a Discord para enviar toda la información robada de las víctimas a los ciberdelincuentes.
“El creciente interés por las soluciones de IA permite a los ciberdelincuentes realizar sus fechorías con mayor facilidad. Y es que además de su atractivo, los servicios legítimos de IA permiten a los ciberdelincuentes crear y desplegar sus ataques de manera mucho más sofisticada” explica Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “Es esencial que usuarios y empresas adopten un enfoque proactivo y se eduquen a sí mismos, tomen consciencia de los riesgos existentes, y se mantengan vigilantes frente a las nuevas tácticas de los ciberdelincuentes”.