摘要
黑客正在利用 Facebook 广告和劫持页面来推广虚假人工智能服务,例如 MidJourney、OpenAI 的 SORA 和 ChatGPT-5 以及 DALL-E,以窃取密码的恶意软件感染毫无戒心的用户。
这些恶意广告活动是通过劫持 Facebook 个人资料创建的,这些个人资料冒充流行的人工智能服务,假装提供新功能的预览。
被广告欺骗的用户成为欺诈性 Facebook 社区的成员,威胁行为者在其中发布新闻、人工智能生成的图像和其他相关信息,以使页面看起来合法。
OpenAI 的 Sora 视频生成工具的广告
然而,社区帖子经常提倡限时访问即将推出且备受期待的 AI 服务,诱骗用户下载恶意可执行文件,这些可执行文件会利用 Rilide、Vidar、IceRAT 和 Nova 等信息窃取恶意软件感染 Windows 计算机。
信息窃取恶意软件专注于从受害者的浏览器窃取数据,包括存储的凭据、cookie、加密货币钱包信息、自动完成数据和信用卡信息。
然后,这些数据会在暗网市场上出售,或被攻击者用来破坏目标的在线帐户,以达成进一步的诈骗或进行欺诈。
在某些情况下,这些违法活动危害巨大,因为人们目前对人工智能的兴趣非常高。该领域的发展如此之快,以至于人们很难跟上并辨别合法的公告和明显的虚假信息。
在Bitdefender 研究人员发现的一个案例中,一个冒充 Midjourney 的恶意 Facebook 页面聚集了 120 万粉丝,并在最终被删除之前保持活跃近一年。
该页面不是从头开始创建的;而是从头开始创建的。相反,攻击者于 2023 年 6 月劫持了现有的个人资料,并将其转换为虚假的 Midjourney 页面。Facebook 于 2024 年 3 月 8 日关闭了该页面。
恶意 Facebook 个人资料
许多帖子通过宣传该工具不存在的桌面版本来诱骗人们下载信息窃取程序。一些帖子强调了 V6 的发布,但尚未正式发布(最新版本是 V5)。
推广不存在的 MJ 版本
在其他情况下,恶意广告促进了创作 NFT 艺术并将其创作货币化的机会。
假冒 NFT 推广
正如你可以在元广告库中查看 Facebook 广告的定位参数一样,研究人员发现,这些广告的目标受众是欧洲 25 岁至 55 岁的男性,主要是德国、波兰、意大利、法国、比利时、西班牙、荷兰、罗马尼亚、瑞典。
该活动的操作者没有使用 Dropbox 和 Google Drive 链接来托管有效负载,而是设置了多个克隆官方 Midjourney 登陆页面的网站,诱骗用户通过 GoFile 下载他们认为是最新版本的艺术生成工具关联。
用于传播恶意软件的虚假网站之一
相反,他们安装了 Rilide v4,它伪装成网络浏览器的 Google Translate 扩展,在后台窃取 Facebook cookie和其他数据时有效地隐藏了恶意软件。
虽然此页面已被删除,但威胁行为者启动了一个新页面,该页面仍然活跃,拥有超过 600,000 名成员,该页面正在推送一个传播恶意软件的虚假 Midjourney 网站。
尽管这个拥有超过 120 万粉丝的冒名顶替者页面最近被关闭,但研究表明,网络犯罪分子迅速采取行动,于 2024 年 3 月 8 日至 9 日期间建立了一个冒充 Midjourney 的新页面。该页面也是在接管另一位用户的 Facebook 后建立的帐户,他还在页面的评论部分发表评论,警告其他用户该帐户已被黑客入侵。自调查以来,研究人员注意到另外四个 Facebook 页面试图冒充 Midjourney,其中一些页面也已从平台上删除。
最新的冒充 Midjourney 的恶意页面似乎已于 3 月 18 日被攻击者接管,当时网络犯罪分子更改了原始 Facebook 页面的原始名称。截至 3 月 26 日,该诈骗个人资料有 637,000 名关注者。
2024.04.08
2024.04.07
2024.04.03
注:本文由E安全编译报道,转载请联系授权并注明来源。