Ilustração de cadeado vermelho, cercado por círculos recortados
Campanha direciona usuário para site específico para PC ou Mac (Imagem: Vitor Pádua/Tecnoblog)

Uma ferramenta falsa para gerar imagens e vídeos usando inteligência artificial está sendo usada para distribuir malwares capazes de roubar dados no Windows e no macOS. O ataque usa anúncios no X (antigo Twitter) para chamar a atenção das vítimas.

O ataque foi descoberto pelo pesquisador de cibersegurança conhecido como g0njxa. Ele envolve um aplicativo fake, o EditProAI, e dois malwares diferentes: o Lumma Stealer, que funciona no Windows, e o AMOS, que funciona no macOS. A única diferença entre eles é mesmo a compatibilidade com as plataformas.

Em comum, eles coletam informações de navegadores como Chrome, Firefox, Edge e outros. Entre os dados obtidos, estão cookies, credenciais, senhas, cartões de crédito e histórico de navegação. Os apps maliciosos também roubam carteiras de criptomoedas.

Malware usa anúncios do X

Para distribuir este malware, os responsáveis pelo ataque criam anúncios chamativos no X. As propagandas usam deepfakes de temática política. Em uma das peças, o presidente dos EUA, Joe Biden, aparece tomando sorvete com seu rival político, o presidente-eleito Donald Trump.

Print de anúncio no X oferecendo ferramenta que cria vídeos em segundos. Como exemplo, um vídeo de Joe Biden e Donald Trump tomando sorvete juntos.
Propagandas no X com deepfakes chamam a atenção para ferramenta falsa (Imagem: Reprodução/Bleeping Computer)

Ao clicar na propaganda, o usuário é levado ao site do EditProAI. São dois domínios diferentes: máquinas com Windows vão para o endereço com final “pro”, enquanto quem tem Mac vai para o endereço terminado em “org”.

Como nota o Bleeping Computer, as páginas têm uma aparência bastante profissional, contando até com o banner para aceitar o uso de cookies. Ao clicar no botão “Get Now”, o site entrega um arquivo .exe para os usuários de Windows e um .dmg para os usuários de macOS.

A versão para Windows vem com a assinatura do site softwareok.com — provavelmente, ela foi roubada. Ao rodar o arquivo em um sandbox, é possível detectar o malware Lumma Stealer.

Propaganda e IA viram iscas

O ataque chama a atenção por combinar duas práticas cada vez mais frequentes. Uma delas é usar o interesse pela inteligência artificial como chamativo. O ChatGPT e o Gemini (quando ainda se chamava Bard) foram usados em campanhas deste tipo.

A outra é explorar as grandes plataformas de anúncios para atingir o maior número de vítimas em potencial. A prática tem até nome: “malvertising”. Recentemente, um ataque criou um site falso do Google Authenticator e colocou propagandas para ele no próprio Google.

Com informações: Bleeping Computer

Malware usa editor de vídeos com IA como isca para roubar dados