In een schokkende onthulling hebben online oplichters de ophef rond generatieve kunstmatige intelligentie omgevormd tot een kwaadaardige campagne die al een jaar aan de gang is. Volgens een rapport van dreigingsintelligentiebedrijf Google Mandiant hebben deze fraudeurs infostealers en backdoors verspreid onder het mom van AI-tools.
De Misleidende Strategie
In een slimme wending heeft de dreigingsactoren groep genaamd UNC6032, naar verluidt gelinkt aan Vietnam, duizenden misleidende advertenties ingezet die prominent op platforms zoals Facebook en LinkedIn stonden. Deze advertenties vermomden zich als legitieme entiteiten zoals Luma AI, Canva Dream Lab en Kling AI, en leiden nietsvermoedende gebruikers naar vrijwel identieke nepwebsites. In plaats van de beloofde AI-gegenereerde inhoud ontvangen gebruikers hier een met malware beladen bestand, dat bedoeld was om een AI-video te genereren.
Een Wijdverspreide Impact
Een grondig onderzoek door Mandiant heeft aan het licht gebracht dat deze advertenties naar schatting 2,3 miljoen individuen binnen de Europese Unie alleen al hebben bereikt. Deze alarmerende gegevens weerspiegelen eerdere bevindingen van beveiligingsbedrijf Morphisec, die soortgelijke observaties rapporteerden.
De Ontwijkende Technieken
Wat UNC6032 onderscheidt, is hun handigheid in het vermijden van detectie. Nieuw geregistreerde domeinen worden snel in advertenties gebruikt, soms binnen uren nadat ze live zijn. Deze domeinen worden ondersteund door gecompromitteerde Facebook-accounts, via welke misleidende advertenties voortdurend worden gepubliceerd. Zoals gerapporteerd, hebben sommige LinkedIn-advertenties mogelijk tot 250.000 individuen bereikt via de malafide site klingxai.com.
Malware Vermomd als AI
De nepwebsites repliceren nauwkeurig echte AI-service-interfacen en logo’s. Een frauduleuze site gepresenteerd als ‘Luma Dream AI Machine’ bood regelmatige videogeneratie-opties. Bij gebruikersinteractie veinsde de site een verwerkingssequentie voordat een ‘download’-knop verscheen die een schadelijk zip-archief verborgen hield. De malware, Starkveil, opgenomen binnen dit archief, bestaat uit modulaire families zoals Grimpull, XWorm en Frostrift, die in staat zijn tot datadiefstal en systeemcompromittering.
Innovaties in Malware Levering
Gemaakt in Rust, maakt Starkveil gebruik van ingenieuze technieken zoals de dubbel-extensietrick met behulp van onzichtbare braille-Unicode-tekens om kwaadaardige uitvoerbare bestanden onder onschuldige bestandstypes te verbergen. Na uitvoering laat Starkveil ingebedde archieven los in vertrouwde Windows-processen, gebruikmakend van obfuscatie om ondetecteerbaar te blijven.
Een Voortdurende Dreiging
Regelmatige updates aan de kwaadaardige infrastructuur van de groep stellen hen in staat constant evoluerende payloads te hosten. Hun vasthoudende tactieken omvatten het dynamisch verbergen van payloads, waardoor statische detectie steeds moeilijker wordt. De malware blijft persistentie verkrijgen door AutoRun-registersleutels in te voegen en schadelijke DLL’s in te laden via legitieme uitvoerbare routes.
Reacties van Wet- en Regelgevingsinstanties en Cybersecurity
Het rapport benadrukt acties door Meta om deze schadelijke advertenties te ontmantelen en de domeinen die met hun verspreiding geassocieerd zijn, te verwijderen. Verder heeft LinkedIn transparantietools geïntroduceerd die inzicht geven in het bereik en de doelgroep van advertenties, waardoor onderzoekers kunnen beoordelen hoe wijd de blootstelling is verspreid.
Volgens GovInfoSecurity dient deze kwaadaardige campagne als een koude herinnering aan de voortdurende strijd tegen cybercriminaliteit, met de oproep tot waakzaamheid en snelle aanpassing van cybersecurity entiteiten wereldwijd.