Cyberkriminelle nutzen KI-Tools zur Verbreitung von Malware

LONDON (IT BOLTWISE) – In der digitalen Welt, in der Künstliche Intelligenz (KI) zunehmend an Bedeutung gewinnt, haben Cyberkriminelle neue Wege gefunden, um Malware zu verbreiten. Sie nutzen gefälschte Installationsprogramme beliebter KI-Tools, um ahnungslose Nutzer zu täuschen und Schadsoftware wie Ransomware zu installieren.

Cyberkriminelle haben eine neue Methode entwickelt, um Malware zu verbreiten, indem sie gefälschte Installationsprogramme für beliebte KI-Tools wie OpenAI ChatGPT und InVideo AI verwenden. Diese gefälschten Programme dienen als Köder, um verschiedene Bedrohungen zu verbreiten, darunter die Ransomware-Familien CyberLock und Lucky_Gh0$t sowie eine neue Malware namens Numero. Laut einem Bericht von Cisco Talos konzentriert sich die CyberLock-Ransomware, die mit PowerShell entwickelt wurde, hauptsächlich darauf, bestimmte Dateien auf dem System des Opfers zu verschlüsseln.

Die Lucky_Gh0$t-Ransomware ist eine weitere Variante der Yashma-Ransomware, die die sechste Iteration der Chaos-Ransomware-Serie darstellt und nur geringfügige Änderungen am Ransomware-Binary aufweist. Numero hingegen ist eine destruktive Malware, die die Opfer dadurch beeinträchtigt, dass sie die grafischen Benutzeroberflächenkomponenten ihres Windows-Betriebssystems manipuliert und die Maschinen dadurch unbrauchbar macht.

Die legitimen Versionen der KI-Tools sind im B2B-Vertrieb und im Marketingsektor beliebt, was darauf hindeutet, dass Einzelpersonen und Organisationen in diesen Branchen das Hauptziel der hinter der Kampagne stehenden Bedrohungsakteure sind. Eine solche gefälschte KI-Lösungswebsite ist “novaleadsai[.]com”, die wahrscheinlich eine Lead-Monetarisierungsplattform namens NovaLeads imitiert. Es wird vermutet, dass die Website durch Suchmaschinenoptimierungstechniken (SEO) gefördert wird, um ihre Platzierung in Online-Suchmaschinen künstlich zu verbessern.

Nutzer werden dann aufgefordert, das Produkt herunterzuladen, indem sie behaupten, im ersten Jahr kostenlosen Zugang zu dem Tool zu bieten, mit einem monatlichen Abonnement von 95 US-Dollar danach. Tatsächlich wird jedoch ein ZIP-Archiv heruntergeladen, das eine .NET-Executable (“NovaLeadsAI.exe”) enthält, die am 2. Februar 2025 kompiliert wurde, dem Tag, an dem die gefälschte Domain erstellt wurde. Die Binärdatei fungiert als Loader, um die PowerShell-basierte CyberLock-Ransomware zu installieren.

Die Ransomware ist in der Lage, Privilegien zu eskalieren und sich mit administrativen Berechtigungen erneut auszuführen, falls dies noch nicht geschehen ist, und verschlüsselt Dateien in den Partitionen “C:”, “D:” und “E:”, die einem bestimmten Satz von Erweiterungen entsprechen. Anschließend wird eine Lösegeldforderung hinterlassen, die eine Zahlung von 50.000 US-Dollar in Monero in zwei Wallets innerhalb von drei Tagen verlangt. In einer interessanten Wendung behauptet der Bedrohungsakteur in der Lösegeldforderung, dass die Zahlungen zur Unterstützung von Frauen und Kindern in Palästina, der Ukraine, Afrika, Asien und anderen Regionen verwendet werden, in denen “Ungerechtigkeiten an der Tagesordnung sind”.

In einem weiteren Schritt verwendet der Bedrohungsakteur die Living-off-the-Land-Binärdatei (LoLBin) “cipher.exe” mit der Option “/w”, um den verfügbaren ungenutzten Speicherplatz auf dem gesamten Volume zu entfernen, um die forensische Wiederherstellung gelöschter Dateien zu erschweren. Talos beobachtete auch einen Bedrohungsakteur, der die Lucky_Gh0$t-Ransomware unter dem Deckmantel eines gefälschten Installationsprogramms für eine Premium-Version von ChatGPT verbreitete.

Das bösartige SFX-Installationsprogramm enthielt einen Ordner, der die Lucky_Gh0$t-Ransomware-Executable mit dem Dateinamen “dwn.exe” enthielt, die die legitime Microsoft-Executable “dwm.exe” imitiert. Der Ordner enthielt auch legitime Microsoft-Open-Source-KI-Tools, die in ihrem GitHub-Repository für Entwickler und Datenwissenschaftler verfügbar sind, die mit KI arbeiten, insbesondere im Azure-Ökosystem.

Wenn das Opfer die bösartige SFX-Installationsdatei ausführt, führt das SFX-Skript die Ransomware-Nutzlast aus. Eine Yashma-Ransomware-Variante, Lucky_Gh0$t, zielt auf Dateien ab, die ungefähr weniger als 1,2 GB groß sind, um sie zu verschlüsseln, jedoch nicht, bevor Volumenschattenkopien und Backups gelöscht werden. Die am Ende des Angriffs hinterlassene Lösegeldforderung enthält eine eindeutige persönliche Entschlüsselungs-ID und weist die Opfer an, sie über die Session-Messaging-App für eine Lösegeldzahlung zu kontaktieren und einen Entschlüsseler zu erhalten.

Zu guter Letzt nutzen Bedrohungsakteure auch die zunehmende Nutzung von KI-Tools, um die Online-Landschaft mit einem gefälschten Installationsprogramm für InVideo AI, eine KI-gestützte Videokreationsplattform, zu säen, um eine destruktive Malware mit dem Codenamen Numero zu installieren. Das betrügerische Installationsprogramm dient als Dropper, der drei Komponenten enthält: eine Windows-Batch-Datei, ein Visual Basic-Skript und die Numero-Executable. Wenn das Installationsprogramm gestartet wird, wird die Batch-Datei über die Windows-Shell in einer Endlosschleife ausgeführt, die wiederum Numero ausführt und dann vorübergehend für 60 Sekunden anhält, indem das VB-Skript über cscript ausgeführt wird.

Nach der Wiederaufnahme der Ausführung beendet die Batch-Datei den Numero-Malware-Prozess und startet dessen Ausführung neu. Durch die Implementierung der Endlosschleife in der Batch-Datei wird die Numero-Malware kontinuierlich auf dem Opferrechner ausgeführt. Eine 32-Bit-Windows-Executable, die in C++ geschrieben wurde, überprüft Numero auf das Vorhandensein von Malware-Analysetools und Debuggern unter den laufenden Prozessen und überschreibt dann den Titel, die Schaltflächen und den Inhalt des Desktop-Fensters mit der numerischen Zeichenfolge “1234567890”. Es wurde am 24. Januar 2025 kompiliert.

Die Offenlegung erfolgt, nachdem das Google-eigene Unternehmen Mandiant Details zu einer Malvertising-Kampagne enthüllt hat, die bösartige Anzeigen auf Facebook und LinkedIn nutzt, um Nutzer auf gefälschte Websites umzuleiten, die legitime KI-Videogenerator-Tools wie Luma AI, Canva Dream Lab und Kling AI imitieren. Die Aktivität, die auch kürzlich von Morphisec und Check Point aufgedeckt wurde, wurde einem Bedrohungscluster zugeschrieben, das der Technologieriese als UNC6032 verfolgt, das als Vietnam-Nexus eingeschätzt wird. Die Kampagne ist seit mindestens Mitte 2024 aktiv.

Der Angriff verläuft folgendermaßen: Nichtsahnende Nutzer, die auf diesen Websites landen, werden angewiesen, eine Eingabeaufforderung bereitzustellen, um ein Video zu generieren. Wie bereits beobachtet, spielt die Eingabe jedoch keine Rolle, da die Hauptverantwortung der Website darin besteht, den Download einer Rust-basierten Dropper-Nutzlast namens STARKVEIL zu initiieren. “[STARKVEIL] lässt drei verschiedene modulare Malware-Familien fallen, die hauptsächlich für den Informationsdiebstahl entwickelt wurden und in der Lage sind, Plugins herunterzuladen, um ihre Funktionalität zu erweitern”, sagte Mandiant. “Das Vorhandensein mehrerer ähnlicher Nutzlasten deutet auf einen Fail-Safe-Mechanismus hin, der es dem Angriff ermöglicht, auch dann fortzubestehen, wenn einige Nutzlasten von Sicherheitsmaßnahmen erkannt oder blockiert werden.”

Die drei Malware-Familien sind wie folgt: GRIMPULL, ein Downloader, der einen TOR-Tunnel verwendet, um zusätzliche .NET-Nutzlasten abzurufen, die entschlüsselt, dekomprimiert und als .NET-Assemblies in den Speicher geladen werden; FROSTRIFT, ein .NET-Backdoor, das Systeminformationen, Details zu installierten Anwendungen sammelt und nach 48 Erweiterungen sucht, die mit Passwortmanagern, Authentifikatoren und Kryptowährungs-Wallets in Chromium-basierten Webbrowsern in Verbindung stehen; XWorm, ein bekannter .NET-basierter Remote-Access-Trojaner (RAT) mit Funktionen wie Keylogging, Befehlsausführung, Bildschirmaufnahme, Informationssammlung und Opferbenachrichtigung über Telegram.

STARKVEIL dient auch als Vermittler, um einen Python-basierten Dropper namens COILHATCH zu starten, der tatsächlich mit der Ausführung der oben genannten drei Nutzlasten über DLL-Side-Loading beauftragt ist. “Diese KI-Tools zielen nicht mehr nur auf Grafikdesigner ab; jeder kann durch eine scheinbar harmlose Anzeige angelockt werden”, sagte Mandiant. “Die Versuchung, das neueste KI-Tool auszuprobieren, kann dazu führen, dass jeder zum Opfer wird.”

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!