Sahte yapay zeka görüntü ve video oluşturucuları, Windows ve macOS’a Lumma Stealer ve AMOS bilgi hırsızlığı yapan kötü amaçlı yazılımlar bulaştırıyor ve virüs bulaşmış cihazlardan kimlik bilgilerini ve kripto para birimi cüzdanlarını çalmak için kullanılıyor.
Lumma Stealer bir Windows kötü amaçlı yazılımıdır ve AMOS macOS içindir, ancak her ikisi de kripto para birimi cüzdanlarını ve çerezlerini, kimlik bilgilerini, şifreleri, kredi kartlarını ve Google Chrome, Microsoft Edge, Mozilla Firefox ve diğer Chromium tarayıcılarından tarama geçmişini çalar.
Bu veriler bir arşivde toplanır ve saldırganın bilgileri daha sonraki saldırılarda kullanabileceği veya siber suç pazarlarında satabileceği saldırgana geri gönderilir.
Sahte AI görüntü oluşturucuları Lumma Stealer’ı zorluyor
Geçtiğimiz ay boyunca tehdit aktörleri, EditPro adlı AI video ve resim düzenleyicisini taklit eden sahte web siteleri oluşturdu.
Siber güvenlik araştırmacısı g0njxa tarafından keşfedildiği üzere siteler, Başkan Biden ve Trump’ın birlikte dondurma yemesi gibi derin sahte siyasi videoları paylaşan arama sonuçları ve X’teki reklamlar aracılığıyla tanıtılıyor.
Kaynak: BleepingComputer.com
Resimlere tıklamak sizi editproai ile EditProAI uygulaması için sahte web sitelerine götürür[.]pro, Windows kötü amaçlı yazılımlarını ve editproai’yi zorlamak için oluşturuldu[.]org macOS kötü amaçlı yazılımını iletmek için.
Siteler profesyonel görünümlüdür ve hatta her yerde bulunan çerez başlığını içerir, bu da sitelerin meşru görünmesini ve hissettirilmesini sağlar.
Kaynak: BleepingComputer
Ancak “Hemen Al” bağlantılarına tıklamak, EditProAI uygulaması gibi görünen yürütülebilir bir dosya indirecektir. Windows kullanıcıları için dosyanın adı “Edit-ProAI-Setup-newest_release.exe” [VirusTotal] macOS için ise “EditProAi_v.4.36.dmg” olarak adlandırılır. [VirusTotal].
Windows kötü amaçlı yazılımı, ücretsiz bir yardımcı program geliştiricisi olan Softwareok.com’un çalınmış bir kod imzalama sertifikası gibi görünen bir sertifikayla imzalanmıştır.
Kaynak: BleepingComputer
G0njxa, kötü amaçlı yazılımın “proai” adresinde bir panel kullandığını söylüyor[.]club/panelgood/” çalınan verileri göndermek için kullanılır; bu veriler daha sonra tehdit aktörleri tarafından alınabilir.
AnyRun raporu, sanal alan hizmetinin kötü amaçlı yazılımı Lumma Stealer olarak tespit ettiği Windows sürümünün yürütülmesini gösterir.
Bu programı geçmişte indirdiyseniz, tüm kayıtlı şifrelerinizin, kripto para cüzdanlarınızın ve kimlik doğrulamalarınızın ele geçirildiğini düşünmeli ve ziyaret ettiğiniz her sitede bunları benzersiz şifrelerle hemen sıfırlamalısınız.
Ayrıca kripto para birimi borsaları, çevrimiçi bankacılık, e-posta hizmetleri ve finansal hizmetler gibi tüm hassas sitelerde çok faktörlü kimlik doğrulamayı da etkinleştirmelisiniz.
Bilgi çalan kötü amaçlı yazılımlar, tehdit aktörlerinin insanların kimlik bilgilerini ve kimlik doğrulama jetonlarını çalmak için büyük küresel operasyonlar yürütmesiyle son birkaç yılda büyük bir büyüme kaydetti.
Son zamanlarda bilgi hırsızlarına baskı yapan diğer kampanyalar arasında sıfır gün güvenlik açıklarının kullanımı, GitHub sorunlarına yönelik sahte düzeltmeler ve hatta StackOverflow’ta sahte yanıtlar yer alıyor.
Çalınan kimlik bilgileri daha sonra kurumsal ağları ihlal etmek, büyük SnowFlake hesap ihlallerinde gördüğümüz gibi veri hırsızlığı kampanyaları yürütmek ve ağ yönlendirme bilgilerini bozarak kaosa neden olmak için kullanılıyor.