Bilgisayar korsanları, şüphelenmeyen kullanıcılara şifre çalan kötü amaçlı yazılımlar bulaştırmak için MidJourney, OpenAI'nin SORA ve ChatGPT-5 ve DALL-E gibi sahte Yapay Zeka hizmetlerini tanıtmak için Facebook reklamlarını ve ele geçirilen sayfaları kullanıyor.
Kötü amaçlı reklam kampanyaları, yeni özelliklerin ön izlemesini sunuyormuş gibi davranarak popüler yapay zeka hizmetlerini taklit eden ele geçirilmiş Facebook profilleri tarafından oluşturuluyor.
Reklamlarla kandırılan kullanıcılar, tehdit aktörlerinin sayfaların meşru görünmesini sağlamak için haberler, yapay zeka tarafından oluşturulan görüntüler ve diğer ilgili bilgileri yayınladığı sahte Facebook topluluklarının üyesi haline geliyor.
Bununla birlikte, topluluk gönderileri genellikle yaklaşan ve merakla beklenen AI hizmetlerine sınırlı süreli erişimi teşvik ederek kullanıcıları Rilide, Vidar, IceRAT ve Nova gibi bilgi çalan kötü amaçlı yazılımlarla Windows bilgisayarlarına bulaşan kötü amaçlı yürütülebilir dosyaları indirmeleri için kandırıyor.
Bilgi çalan kötü amaçlı yazılımlar, kurbanın tarayıcısından depolanan kimlik bilgileri, çerezler, kripto para birimi cüzdan bilgileri, otomatik tamamlama verileri ve kredi kartı bilgileri dahil olmak üzere verileri çalmaya odaklanır.
Bu veriler daha sonra karanlık web pazarlarında satılır veya saldırganlar tarafından daha fazla dolandırıcılığı teşvik etmek veya sahtekarlık yapmak amacıyla hedefin çevrimiçi hesaplarına sızmak için kullanılır.
Yolculuk ortası kampanyası
İnsanların yapay zekaya olan ilgisi şu anda çok yüksek olduğundan, bu kampanyaların erişimi bazı durumlarda şaşırtıcı oluyor. Bu alandaki gelişmeler o kadar hızlı ki, insanların takip etmesi ve meşru duyuruları apaçık sahte olanlardan ayırt etmesi kolay değil.
Bitdefender'daki araştırmacıların tespit ettiği vakalardan birinde, Midjourney'i taklit eden kötü niyetli bir Facebook sayfası 1,2 milyon takipçi topladı ve sonunda kapatılıncaya kadar neredeyse bir yıl boyunca aktif kaldı.
Sayfa sıfırdan oluşturulmadı; bunun yerine saldırganlar Haziran 2023'te mevcut bir profili ele geçirdi ve onu sahte bir Midjourney sayfasına dönüştürdü. Facebook, 8 Mart 2024'te sayfayı kapattı.
Birçok gönderi, aracın var olmayan bir masaüstü sürümünü tanıtarak insanları bilgi hırsızlarını indirmeye kandırdı. Bazı gönderilerde henüz resmi olarak yayınlanmayan V6'nın piyasaya sürülmesi vurgulandı (en son sürüm V5'tir).
Diğer durumlarda, kötü amaçlı reklamlar, NFT sanatı oluşturma ve eserlerinden para kazanma fırsatlarını teşvik etti.
Facebook reklamlarının hedefleme parametrelerini Meta Reklam Kitaplığı'nda görebileceğiniz gibi, araştırmacılar reklamların başta Almanya, Polonya, İtalya, Fransa, Belçika, İspanya, Hollanda olmak üzere Avrupa'da 25 ila 55 yaş arası erkek demografisini hedeflediğini buldu. Romanya ve İsveç.
Bu kampanyanın operatörleri, yükleri barındırmak için Dropbox ve Google Drive bağlantılarını kullanmak yerine, resmi Midjourney açılış sayfasını kopyalayan birden fazla site kurarak kullanıcıları, sanat oluşturma aracının en son sürümü olduğunu düşündükleri şeyi bir GoFile aracılığıyla indirmeleri için kandırdı. bağlantı.
Bunun yerine, web tarayıcıları için bir Google Çeviri uzantısı gibi görünen ve arka planda Facebook çerezlerini ve diğer verileri çekerken kötü amaçlı yazılımı etkili bir şekilde gizleyen Rilide v4'ü aldılar.
Bu sayfa o zamandan beri kaldırılmış olsa da, tehdit aktörleri, kötü amaçlı yazılım dağıtan sahte bir Midjourney sitesini teşvik eden, 600.000'den fazla üyesiyle hala aktif olan yeni bir sayfa başlattı.
Her ne kadar 1,2 milyondan fazla takipçiye sahip olan sahtekar sayfa yakın zamanda kapatılmış olsa da araştırmamız, siber suçluların 8-9 Mart 2024 tarihleri arasında Midjourney'i taklit eden yeni bir sayfa oluşturmak için hızla harekete geçtiğini gösterdi. Bu sayfa aynı zamanda başka bir kullanıcının Facebook'unu ele geçirdikten sonra da kuruldu. Ayrıca sayfanın inceleme bölümünde yorum yapan ve diğer kullanıcıları hesabın saldırıya uğradığı konusunda uyaran hesap. Araştırmamıza başladığımızdan bu yana, Midjourney'i taklit etmeye çalışan dört Facebook sayfasının daha olduğunu fark ettik ve bunlardan bazıları platformdan kaldırıldı.
Midjourney'i taklit eden en son kötü amaçlı sayfa, siber suçluların orijinal Facebook sayfasının orijinal adını değiştirdiği 18 Mart'ta saldırganlar tarafından ele geçirilmiş gibi görünüyor. 26 Mart itibarıyla dolandırıcılık profilinin 637.000 takipçisi var (aşağıda görüldüğü gibi).
❖ Bitdefender.
Bu kampanyanın başarısı, sosyal medya tabanlı kötü amaçlı reklamcılık stratejilerinin karmaşıklığını ve çevrimiçi reklamlarla etkileşimde bulunurken dikkatli olmanın önemini vurgulamaktadır.
Facebook gibi sosyal medya ağlarının geniş ölçeği, yetersiz denetimle birleştiğinde, bu kampanyaların uzun süre devam etmesine olanak tanıyarak, kötü amaçlı yazılım bulaşmalarından büyük zararlara yol açan kötü amaçlı yazılımların kontrolsüz yayılmasını kolaylaştırır.