Reklama „Sora AI” na Facebooku
Jak przekazuje CERT Orange, po raz kolejny oszuści wykorzystują nowinki ze świata sztucznej inteligencji do infekowania złośliwym oprogramowaniem. Po kampaniach związanych z ChatGPT i Bard AI, teraz nadszedł czas na Sora AI. Narzędzia te kuszą możliwościami usprawniania pracy i dostarczenia rozrywki. Sora AI, stworzone przez OpenAI, ma generować filmy z promptów tekstowych. Próbki działania tego systemu są obiecujące i stały się atrakcyjnym motywem szkodliwych reklam. Tego typu reklamy w wielu opcjach językowych można znaleźć na Facebooku.
Reklamy w tej kampanii pochodzą zarówno ze stron, które podszywają się nazwą po Sora AI, ale też z zupełnie przypadkowych miejsc na Facebooku, jak na przykład strona „Czadoman”. Co ciekawe, choć ta druga strona to prawdopodobnie przejęty polski fanpage, reklama była w języku angielskim, a kierowano ją do odbiorców z Hiszpanii.
Jeżeli reklama zachęci użytkownika do wejścia w odnośnik, zobaczy on witrynę, która nakłania do pobrania pliku. Docelowe pliki to sora.exe oraz archiwum.zip o losowej nazwie, w którym znajduje się plik różniący się od sora.exe tylko nazwą – oba to Lumma Stealer.
Czym jest Lumma Stealer?
Lumma Stealer (lub LummaC2 Stealer) to złośliwe oprogramowanie wykradające dane, dostępne w modelu Malware-as-a-Service (MaaS). Można je kupić na rosyjskojęzycznych forach co najmniej od sierpnia 2022 roku. Lumma jest wykorzystywana w szeregu scenariuszy przez wiele grup, ze względu na bogate możliwości modyfikacji i dostosowywania do indywidualnych potrzeb kupującego. Znane są kampanie podszywające się pod prawdziwe oprogramowanie (np. BitDefender) lub popularne biblioteki programistyczne (paczka na PyPI „crytic-compile”).
Lumma znana jest z unikania wykrycia przez programy antywirusowe, wykrywania środowisk analitycznych, obfuskowania (zaciemniania) komunikacji z serwerami C2, a także szyfrowania eksfiltrowanych danych. Do najczęściej kradzionych danych należą: portfele kryptowalutowe (klucze prywatne, adresy portfeli, historia transakcji), informacje z przeglądarek internetowych (ciasteczka, historia przeglądania, rozszerzenia, informacje z wewnętrznych menedżerów haseł), dane z klientów poczty e-mail (wiadomości, załączniki, poświadczenia logowania), pliki zawierające określone słowa kluczowe (wallet, bitcoin, seed, pass) lub inne istotne dane.
Gdy przyjrzymy się stronie, wyraźnie widać działania mające na celu utrudnienie analizy. Przy weryfikacji witryny za pomocą np. VirusTotal lub urlscan.io wyświetlana jest strona (bez przekierowań) inna niż w przypadku wejścia z faktycznego urządzenia. To, co zobaczymy za pośrednictwem sandboxa, to jedynie zaślepka – nieszkodliwa wizytówka niekoniecznie istniejącego startupu z dziedziny sztucznej inteligencji „Undivo”.
Co więcej, przy analizie plików w sandboxie można zaobserwować próby ukrycia rzeczywistych funkcji oprogramowania, które dla niepoznaki rozpoczyna proces instalacji prawdziwego Notepad++. Dwie próbki pobierane z różnych stron są podpisane poprawnymi i ważnymi certyfikatami. Jeden z firmy Foxbow Limited, drugi od Timber Digital Limited. Informacje na temat produktu i wersji mają stworzyć iluzję wiarygodności, choć te certyfikaty faktycznie mogą być używane do podpisywania kodu, firmy te nie mają nic wspólnego z OpenAI.
Domena, do której odbywa się eksfiltracja, umieszczona jest na profilu na Steamie, gdzie zakodowana jest za pomocą ROT15. Po rozkodowaniu otrzymujemy adres reinforcedirectorywd[.]shop. Wykorzystywanie Steama przypomina zachowanie malware Vidar, o którym Security Magazine pisał w maju.
Jak się chronić przed Lumma Stealer?
To nie pierwsza tego typu kampania w mediach społecznościowych. Przede wszystkim należy pamiętać, by nie pobierać oprogramowania reklamowanego przez przypadkowe strony, czy to na Facebooku, czy na przykład na LinkedIn. Aplikacje i programy należy pobierać z zaufanych źródeł i oficjalnych stron producentów.
Jeśli trafisz na testy jakiejś długo oczekiwanej nowinki albo wyjątkowo świetną ofertę, zanim ulegniesz ekscytacji, doczytaj i zweryfikuj informacje u źródła. Ważne jest, aby nie ulegać emocjom. Będąc na bieżąco, zauważysz, że Sora AI jest jeszcze w fazie testów. Developerzy na pewno ogłoszą publicznie premierę, a będzie o niej tak głośno, że na pewno cię nie ominie.
Co zrobić, jeżeli trafisz na taką reklamę? Doświadczeni użytkownicy od razu zauważą, że coś jest z nią nie tak i sprawa jest podejrzana. W takiej sytuacji należy zgłosić zdarzenie przez formularz kontaktowy CERT Orange Przekazana informacja trafi do analityków, którzy będą mogli podjąć odpowiednie działania
