Gli aggressori hanno sfruttato la popolarità degli strumenti dimodifica delle immaginiAI per indurre gli utenti a installare applicazioni che simulano strumenti legittimi, ma che sono cariche di malware.
La campagna utilizza account Facebook dirottati per spingere le applicazioni sui social media utilizzando pubblicità a pagamento per diffondere il malware.
Gli aggressori ingannano le pagine di Facebook e le costringono a cedere le loro credenziali con messaggi di phishing che portano gli utenti a false pagine di protezione dell'account che poi rubano la loro password.
Facebook malvertising
Jaromir Horejsi, un ricercatore di minacce di Trend Micro che ha analizzato la campagna, ha dichiarato: "Abbiamo scoperto una campagna di malvertising che coinvolge un attore di minacce che ruba le pagine dei social media, cambiando i loro nomi per farli sembrare collegati a popolari editor di foto AI. L'attore crea quindi post dannosi con link a siti web falsi che assomigliano al sito web dell'editor fotografico legittimo. Per aumentare il traffico, l'autore del reato potenzia i post dannosi con annunci a pagamento" (via BleepingComputer).
Il pacchetto software che le vittime installano non è l'editor di immagini AI, bensì lo strumento di desktop remoto Itarian che lancia un downloader sul dispositivo delle vittime che installa il malware Lumma Stealer. Questo malware sniffa segretamente i file delle vittime alla ricerca di dati preziosi, come i file dei portafogli di criptovalute, le credenziali, i file del gestore di password e i datidel browser.
Questi dati vengono poi venduti sul dark web o utilizzati per rilevare altri account utilizzando le credenziali compromesse al fine di promuovere altre truffe.
In risposta alla campagna, Horejsi ha fornito alcuni modi per proteggersi dalla campagna, affermando: "Gli utenti dovrebbero attivare l'autenticazione a più fattori (MFA) su tutti gli account dei social media per aggiungere un ulteriore livello di protezione contro gli accessi non autorizzati. Le organizzazioni dovrebbero educare i propri dipendenti sui pericoli degli attacchi di phishing e su come riconoscere messaggi e link sospetti. Gli utenti dovrebbero sempre verificare la legittimità dei link, soprattutto di quelli che richiedono informazioni personali o credenziali di accesso".
