Gefälschte KI-Installer verbreiten gefährliche Malware

LONDON (IT BOLTWISE) – Cyberkriminelle nutzen gefälschte Installer für beliebte KI-Tools, um gefährliche Malware zu verbreiten. Diese Bedrohung zielt insbesondere auf Unternehmen im B2B-Vertrieb und Marketing ab.

In der digitalen Welt von heute sind Cyberkriminelle immer auf der Suche nach neuen Wegen, um ihre schädlichen Aktivitäten zu verbreiten. Eine der neuesten Methoden ist die Verwendung gefälschter Installer für beliebte KI-Tools wie OpenAI ChatGPT und InVideo AI. Diese Installer dienen als Köder, um verschiedene Bedrohungen zu verbreiten, darunter die Ransomware-Familien CyberLock und Lucky_Gh0$t sowie eine neue Malware namens Numero.

CyberLock, eine mit PowerShell entwickelte Ransomware, konzentriert sich darauf, bestimmte Dateien auf dem System des Opfers zu verschlüsseln. Laut einem Bericht von Cisco Talos, der heute veröffentlicht wurde, ist Lucky_Gh0$t eine weitere Variante der Yashma-Ransomware, die zur Chaos-Ransomware-Serie gehört. Diese Version weist nur geringfügige Änderungen am Ransomware-Binary auf. Numero hingegen ist eine destruktive Malware, die die grafische Benutzeroberfläche (GUI) des Windows-Betriebssystems manipuliert und die Maschinen dadurch unbrauchbar macht.

Die legitimen Versionen der KI-Tools sind besonders im B2B-Vertrieb und im Marketingsektor beliebt, was darauf hindeutet, dass Einzelpersonen und Organisationen in diesen Branchen das Hauptziel der hinter der Kampagne stehenden Bedrohungsakteure sind. Eine der gefälschten KI-Lösungswebsites ist “novaleadsai[.]com”, die wahrscheinlich eine Plattform zur Lead-Monetarisierung namens NovaLeads imitiert. Es wird vermutet, dass die Website durch SEO-Poisoning-Techniken beworben wird, um ihre Platzierungen in Online-Suchmaschinen künstlich zu verbessern.

Benutzer werden aufgefordert, das Produkt herunterzuladen, indem sie behaupten, im ersten Jahr kostenlosen Zugang zu dem Tool zu bieten, gefolgt von einem monatlichen Abonnement von 95 US-Dollar. Tatsächlich wird jedoch ein ZIP-Archiv heruntergeladen, das eine .NET-Ausführungsdatei (“NovaLeadsAI.exe”) enthält, die am 2. Februar 2025 kompiliert wurde, dem gleichen Tag, an dem die gefälschte Domain erstellt wurde. Diese Datei fungiert als Loader, um die PowerShell-basierte CyberLock-Ransomware bereitzustellen.

Die Ransomware ist in der Lage, Privilegien zu eskalieren und sich mit administrativen Berechtigungen erneut auszuführen, falls dies noch nicht geschehen ist, und verschlüsselt Dateien in den Partitionen “C:\”, “D:\” und “E:\”, die einem bestimmten Satz von Erweiterungen entsprechen. Anschließend wird eine Lösegeldforderung hinterlegt, die eine Zahlung von 50.000 US-Dollar in Monero in zwei Wallets innerhalb von drei Tagen verlangt. Interessanterweise behauptet der Bedrohungsakteur in der Lösegeldforderung, dass die Zahlungen zur Unterstützung von Frauen und Kindern in Palästina, der Ukraine, Afrika, Asien und anderen Regionen verwendet werden, in denen “Ungerechtigkeiten an der Tagesordnung sind”.

Talos beobachtete auch einen Bedrohungsakteur, der die Lucky_Gh0$t-Ransomware unter dem Deckmantel eines gefälschten Installers für eine Premium-Version von ChatGPT verbreitete. Der bösartige SFX-Installer enthielt einen Ordner mit der Lucky_Gh0$t-Ransomware-Ausführungsdatei mit dem Dateinamen “dwn.exe”, die die legitime Microsoft-Ausführungsdatei “dwm.exe” imitiert. Der Ordner enthielt auch legitime Microsoft Open-Source-KI-Tools, die auf ihrem GitHub-Repository für Entwickler und Datenwissenschaftler verfügbar sind, die mit KI arbeiten, insbesondere innerhalb des Azure-Ökosystems.

Darüber hinaus nutzen Bedrohungsakteure die zunehmende Nutzung von KI-Tools, um die Online-Landschaft mit einem gefälschten Installer für InVideo AI, eine KI-gestützte Videoplattform, zu durchsetzen, um eine destruktive Malware namens Numero bereitzustellen. Der betrügerische Installer dient als Dropper, der drei Komponenten enthält: Eine Windows-Batch-Datei, ein Visual Basic Script und die Numero-Ausführungsdatei. Beim Start des Installers wird die Batch-Datei über die Windows-Shell in einer Endlosschleife ausgeführt, die wiederum Numero ausführt und dann für 60 Sekunden anhält, indem das VB-Skript über cscript ausgeführt wird.

Die Enthüllung dieser Bedrohungen erfolgt zu einem Zeitpunkt, an dem Google-eigene Mandiant Details zu einer Malvertising-Kampagne veröffentlicht hat, die bösartige Anzeigen auf Facebook und LinkedIn nutzt, um Benutzer auf gefälschte Websites umzuleiten, die legitime KI-Video-Generator-Tools wie Luma AI, Canva Dream Lab und Kling AI imitieren. Diese Aktivitäten wurden einem Bedrohungscluster zugeordnet, das von dem Technologieriesen als UNC6032 verfolgt wird und von dem angenommen wird, dass es einen Vietnam-Bezug hat.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!