Cisco Talosは木曜日、脅威アクターがAIチャットボットやソリューションプロバイダーを偽装してランサムウェアを拡散していると明らかにした。脅威インテリジェンス調査チームは、注目すべき3つの脅威、CyberLock、Lucky_Gh0$t、そしてNumeroと名付けられた新たなマルウェアについて詳細を説明した。
これら 3 つの攻撃はいずれも、AI サービスの偽インストーラーを通じて被害者を見つけます。脅威の攻撃者は SEO を操作して、このインストーラーを検索結果の上位に表示します。
サイバーロックはNovaLeadsAIに似た偽のサイトに隠れている
ある悪意のあるURLは、B2B販売サービスであるNovaLeadsAIを偽装していました。脅威アクターは、本物のサイトで使用されている.appトップレベルドメインではなく、.comトップレベルドメインを使用していました。脅威アクターはSEO対策を巧妙に操作していたため、偽のウェブサイトは検索エンジンで関連キーワードの検索結果の上位に表示される可能性が高かったのです。
脅威アクターは「CyberLock」と呼ばれるランサムウェアを使用しており、これはユーザーのデバイス上の特定のファイルを暗号化します」とCisco Talosは声明で述べています。「デバイスが感染した場合、ユーザーは「機密性の高いビジネス文書、個人ファイル、機密データベース」の返却と引き換えに身代金を要求するメッセージを受け取ります。」
脅威アクターは身代金を5万ドルに設定し、仮想通貨モネロで支払いました。心理的な要素を加えるため、身代金はパレスチナ、ウクライナ、アフリカ、アジアなどの地域への人道支援に充てられると虚偽の主張をしました。攻撃者の攻撃パターンには、ロックされた文書を公開すると脅迫するものもありましたが、Cisco Talosはランサムウェアのコードにそのような機能が含まれていたという証拠を発見できませんでした。
参照: 脅威の攻撃者は、GitLab Duo AI アシスタントに隠しプロンプトを埋め込み、フィッシング リンクや偽の URL に誘導しました。
LuckyGhostは「ChatGPTインストーラー」の中に隠れている
LuckyGhostランサムウェアは、いわゆるChatGPTのフルバージョン、具体的には「ChatGPT 4.0 full version – Premium.exe」というファイルのダウンロードを装っています。本物のChatGPTチャットボットはオンラインで無料でアクセスできます。LuckyGhostパッケージには、ランサムウェアの実行ファイルと、AzureでAIを操作するためのオープンソースのMicrosoftツールが含まれています。
LuckyGhost がインストールされると、Microsoft Office や Adobe のコンテンツ、メディアや画像、バックアップ ファイルやデータベース ファイルなど、さまざまな種類のファイルがロックされます。
Numero がオンライン プラットフォーム InVideo AI を偽装
Numeroと呼ばれる別のマルウェアは、オンラインプラットフォームInVideo AIを装います。Numeroは、ファイルのメタデータに含まれるInVideo AIの名前を利用して、ユーザーに悪意のあるファイルのダウンロードを促します。インストールされると、偽のインストーラーは「wintitle.exe」という実行ファイル、悪意のあるWindowsバッチファイル、そしてVBスクリプトをデバイスにインストールします。Cisco Talosは、GitHubリポジトリで侵害の兆候(IOC)を提供しました。
これらのマルウェアは、リンク(特に検索エンジンの結果の上位にある製品リスト)に注意し、ファイルをダウンロードする前に URL、Web サイト、アプリを徹底的に調べる必要があることを思い出させてくれます。
「組織やユーザーは、こうした脅威の被害に遭わないために、細心の注意を払い、情報源を綿密に検証し、信頼できるベンダーだけに頼る必要がある」とサイバーセキュリティ研究者のチェタン・ラグプラサド氏はブログ投稿に記した。
