Facebook’ta yürütülen bir kötü amaçlı reklam kampanyası, yapay zekalı resim düzenleme araçları arayan kullanıcıları hedef alıyor ve onları yasal yazılımları taklit eden sahte uygulamalar yüklemeleri için kandırarak kimlik bilgilerini çalıyor.
Trend Micro araştırmacılarının kampanyayı analiz etmesiyle ortaya çıktığı üzere, saldırganlar, meşru hizmetlere çok benzeyen kötü amaçlı web siteleri oluşturarak ve potansiyel kurbanları kendilerini bilgi hırsızı kötü amaçlı yazılımlarla enfekte etmeleri için kandırarak, yapay zeka destekli görüntü oluşturma araçlarının popülerliğinden yararlanıyor.
Saldırılar, Facebook sayfa sahiplerine veya yöneticilerine gönderilen kimlik avı mesajlarıyla başlıyor ve bu mesajlar, onları giriş bilgilerini vermeleri için kandırmayı amaçlayan sahte hesap koruma sayfalarına yönlendiriyor.
Tehdit aktörleri, kimlik bilgilerini çaldıktan sonra hesaplarını ele geçiriyor, sayfalarının kontrolünü ele geçiriyor, kötü amaçlı sosyal medya paylaşımları yayınlıyor ve ücretli reklamlarla bunları tanıtıyor.
Trend Micro tehdit araştırmacısı Jaromir Horejsi, “Genellikle fotoğrafçılıkla ilgili sosyal medya sayfalarını çalan ve popüler yapay zeka fotoğraf düzenleyicileriyle bağlantılı gibi görünmelerini sağlamak için isimlerini değiştiren bir tehdit aktörü içeren kötü amaçlı reklam kampanyasını keşfettik” dedi.
“Tehdit aktörü daha sonra meşru fotoğraf editörünün gerçek web sitesine benzeyecek şekilde yapılmış sahte web sitelerine bağlantılar içeren kötü amaçlı gönderiler oluşturur. Trafiği artırmak için, fail daha sonra ücretli reklamlar aracılığıyla kötü amaçlı gönderileri öne çıkarır.”
Kötü amaçlı reklamda tanıtılan URL’ye tıklayan Facebook kullanıcıları, meşru bir yapay zeka fotoğraf düzenleme ve oluşturma yazılımıymış gibi görünen sahte bir web sayfasına yönlendiriliyor ve burada bir yazılım paketini indirip yüklemeleri isteniyor.
Ancak kurbanlar, yapay zeka destekli görüntü düzenleme yazılımı yerine, Lumma Stealer kötü amaçlı yazılımını otomatik olarak dağıtan bir indiriciyi başlatacak şekilde yapılandırılmış meşru ITarian uzak masaüstü aracını yüklüyor.
Kötü amaçlı yazılım daha sonra sessizce sistemlerine sızıyor ve saldırganların kimlik bilgileri, kripto para cüzdan dosyaları, tarayıcı verileri ve parola yöneticisi veritabanları gibi hassas bilgileri toplamasına ve sızdırmasına olanak tanıyor.
Bu veriler daha sonra diğer siber suçlulara satılıyor veya saldırganlar tarafından kurbanların çevrimiçi hesaplarına erişmek, paralarını çalmak ve daha fazla dolandırıcılık yapmak için kullanılıyor.
Horejsi, “Kullanıcılar, yetkisiz erişime karşı ekstra bir koruma katmanı eklemek için tüm sosyal medya hesaplarında çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmeli” tavsiyesinde bulundu.
“Kuruluşlar, çalışanlarını kimlik avı saldırılarının tehlikeleri ve şüpheli mesajları ve bağlantıları nasıl tanıyacakları konusunda eğitmelidir. Kullanıcılar, özellikle kişisel bilgi veya oturum açma kimlik bilgileri isteyen bağlantıların meşruiyetini her zaman doğrulamalıdır.”
Nisan ayında benzer bir Facebook kötü amaçlı reklam kampanyası, Rilide Stealer Chrome tarayıcı eklentisini kullanarak yaklaşık 1,2 milyon kullanıcıyı hedef almak için Midjourney’i taklit eden kötü amaçlı bir sayfayı tanıttı.