În acord cu cele mai recente tendințe, infractorii cibernetici distribuie instrumente rău intenționate care se prezintă drept ChatGPT, Midjourney și alți asistenți de AI generativă.

Inteligența artificială generativă (GenAI) face furori în întreaga lume. Popularitatea și utilizarea pe scară largă au atras, de asemenea, atenția infractorilor cibernetici, ducând la diferite amenințări cibernetice. Cu toate acestea, multe discuții despre amenințările asociate cu instrumente precum ChatGPT s-au concentrat asupra modului în care tehnologia poate fi utilizată greșit pentru a ajuta fraudatorii să creeze mesaje convingătoare de phishing, să producă malware sau să examineze vulnerabilități.

Prea puțini vorbesc despre utilizarea GenAI ca momeală, drept cal troian care să ascundă malware. Exemplele însă nu sunt greu de găsit. Într-un articol anterior, am detaliat o campanie malițioasă care i-a îndemnat pe utilizatorii Facebook să încerce cea mai recentă versiune a instrumentului AI legitim de la Google – „Bard”, reclamele distribuind de fapt un instrument software malițios.

Astfel de campanii ilustrează o tendință îngrijorătoare și, în mod clar, nu duc nicăieri. Prin urmare, este esențial să înțelegeți cum funcționează, să învățați cum să reperați semnele de avertizare și să luați măsuri de precauție pentru ca identitatea și finanțele dvs. să nu fie în pericol.

Cum folosesc băieții răi GenAI ca momeală?

Criminalii cibernetici au diferite moduri în care vă pot păcăli să instalați programe malware deghizate în aplicații GenAI. Acestea includ: 

Site-uri de phishing

În a doua jumătate a anului 2023, ESET a blocat peste 650.000 de încercări de a accesa domenii rău intenționate care conțineau „chapgpt ” sau text similar. Cel mai probabil, victimele ajung acolo după ce intră pe un link primit pe rețelele sociale sau printr-un e-mail/ mesaj pe mobil. Unele dintre aceste pagini de phishing pot conține link-uri pentru a instala programe malware deghizate în software GenAI.

Extensii de browser web

Raportul de amenințări H1 2024 al ESET detaliază o extensie de browser rău intenționată pe care utilizatorii sunt păcăliți să o instaleze după ce sunt atrași de reclamele Facebook care promit că îi vor duce pe site-ul oficial al companiei Sora de la OpenAI sau al Gemini de la Google. Deși extensia se dă drept Google Translate, este de fapt un infostealer cunoscut sub numele de „Rilide Stealer V4”, care este conceput pentru a colecta datele de autentificare Facebook ale utilizatorilor.

Fig. 1 - Rilide Stealer pretinzând că este o extensie de browser Chrome (sursa: ESET Threat Report H1 2024)

Din august 2023, telemetria ESET a înregistrat peste 4.000 de încercări de a instala extensia rău intenționată. Există și alte extensii rău intenționate care pretind că oferă funcționalitatea GenAI și pot face acest lucru parțial, dar în același timp livrează și malware, potrivit Meta.

Aplicații false

Au existat, de asemenea, diverse rapoarte despre aplicații GenAI false, postate îndeosebi în magazinele online de aplicații pentru mobil, multe dintre acestea conținând malware. Unele sunt încărcate cu software rău intenționat, fiind conceput special pentru a fura informații sensibile de pe dispozitivul utilizatorului și pot viza date de conectare, detalii de identificare personală, informații financiare și multe altele.

Fig. 2 - Această aplicație web falsă ChatGPT trimite chei API OpenAI către propriul server (sursă: ESET Threat Report H2 2023)

Altele sunt înșelătorii menite să genereze venituri pentru dezvoltatorul acestora, promițând capacități avansate de inteligență artificială, adesea contra cost. Odată descărcate, pot bombarda utilizatorii cu reclame și pot solicita achiziții în aplicație sau abonamente pentru servicii care sunt fie inexistente, fie de calitate extrem de slabă.

Reclame rău intenționate

Actorii rău intenționați folosesc popularitatea instrumentelor GenAI pentru a păcăli utilizatorii să acceseze publicitate rău intenționată. Reclamele rău intenționate de pe Facebook sunt deosebit de răspândite. Meta a avertizat anul trecut că multe dintre aceste campanii sunt concepute pentru a compromite „afacerile cu acces la conturi de publicitate pe internet”.

Fig. 3 - Ecran de pornire afișat de instalatorul Vidar Infostealer și impersonarea Midjourney (sursă: ESET Threat Report H1 2024)

Actorii amenințărilor deturnează un cont sau o pagină legitimă, modifică informațiile de profil pentru a semăna cu ChatGPT sau cu altă pagină marca GenAI și apoi folosesc conturile pentru a difuza anunțuri false. Acestea oferă link-uri către cea mai recentă versiune a instrumentelor GenAI, dar în realitate instalează malware infostealer, potrivit cercetătorilor.

Arta de a ademeni

Oamenii sunt ființe sociale. Vrem să credem poveștile care ni se spun. De asemenea, suntem lacomi. Ne dorim cele mai recente gadgeturi și aplicații. Actorii amenințărilor exploatează lăcomia, teama de a rata ceva important, credulitatea și curiozitatea utilizatorilor pentru a-i determina să acceseze link-uri rău intenționate sau să descarce aplicații cu malware ascuns în interior.

Dar pentru ca noi să apăsăm butonul de instalare, ceea ce este oferit trebuie să fie destul de ispititor și, ca orice minciună bună, să aibă o sămânță de adevăr. „Inginerii sociali” sunt deosebit de abili în a stăpâni arta manipulării, convingându-ne să accesăm știri despre celebrități sau chestiuni curente. Un bun exemplu au fost știrile despre vaccinurile false contra COVID-19. Uneori aceste mesaje vor oferi ceva gratuit, procente mari de reducere sau vor indica o pre-lansare pentru anumite produse sau servicii. După cum am explicat aici, utilizatorii cad pradă acestor trucuri deoarece:

• Ne grăbim, mai ales dacă vedem conținutul pe mobil
• Sunt buni povestitori și din ce în ce mai coerenți, folosind (ironic) GenAI pentru a-și spune poveștile fără probleme în mai multe limbi
• Ne place să obținem ceva pentru nimic, chiar dacă este prea frumos pentru a fi adevărat
• Băieții răi sunt buni la împărtășirea cunoștințelor despre ce funcționează și ce nu, în timp ce noi nu suntem la fel de buni să căutăm sau să acceptăm sfaturi
• Suntem pregătiți să respectăm autoritatea sau cel puțin legitimitatea unei oferte, atâta timp cât este marcată „oficial”

Când vine vorba de GenAI, malware-slingerii devin din ce în ce mai sofisticați. Ei folosesc mai multe canale pentru a-și răspândi datele malițioase. Și camuflează malware sub forma a orice, de la ChatGPT și creatorul video Sora AI, până la generatorul de imagini Midjourney, DALL-E și editorul foto Evoto. Multe dintre versiunile pe care le prezintă nici nu sunt încă disponibile, ceea ce și atrage victima, cum ar fi „ChatGPT 5” sau „DALL-E 3”, de exemplu.

Ei se asigură că malware-ul continuă să zboare sub radar, adaptându-și în mod regulat „rețeaua de distribuție” pentru a evita detectarea de către instrumentele de securitate. Și au nevoie de mult timp și efort pentru a se asigura că momelile lor (cum ar fi reclamele de pe Facebook) arată bine. Dacă nu pare oficial, cine îl va descărca?

Ce date ar putea fi puse în pericol?

Deci, care este cel mai rău lucru care s-ar putea întâmpla? Dacă faceți clic și descărcați o aplicație GenAI falsă pe mobil sau pe un site web și instalează malware, care este scopul final pentru escroci? În multe cazuri, este vorba de furt de informații. Aceste programe malware sunt concepute, după cum sugerează și numele, pentru a colecta informații sensibile. Ele pot viza date de logare pentru conturile online, cum ar fi autentificări de la serviciu sau carduri de credit stocate, cookie-uri de sesiune (pentru a ocoli autentificarea cu mai mulți factori), active stocate în portofele de criptomonede, fluxuri de date din aplicațiile de mesagerie instantanee și multe altele.

Desigur, nu este vorba doar despre malware-ul de furt de informații. Teoretic, criminalii cibernetici ar putea ascunde orice tip de malware în aplicații și link-uri rău intenționate, inclusiv ransomware și troieni de acces la distanță (RAT). Iată câteva scenarii de hacking:

• Un hacker care obține control complet de la distanță asupra computerului/ mobilului dvs. și peste tot ceea ce aveți stocat aici. Acesta ar putea folosi accesul pentru a vă fura cele mai sensibile informații personale și financiare sau pentru a vă transforma aparatul într-un computer „zombie” și a lansa atacuri asupra altora.
• Hackerii ar putea folosi informațiile dvs. personale pentru fraude de identitate, care pot fi extrem de supărătoare și costisitoare pentru victimă.
• Hackerii ar putea folosi detalii financiare și de identitate pentru a obține noi linii de credit în numele dvs. sau pentru a fura criptomonede active și pentru a accesa și goli conturile bancare.
• Hackerii ar putea chiar să vă folosească datele de conectare de la serviciu pentru a lansa un atac asupra angajatorului sau asupra unui partener/furnizor. O campanie recentă de extorcare digitală care a folosit malware infostealer pentru a obține acces la conturile Snowflake a dus la compromiterea a zeci de milioane de informații despre clienți.

Cum să evitați momelile GenAI rău intenționate

Unele bune practici încercate și testate ar trebui să vă mențină pe drumul cel bun și departe de amenințările GenAI. Luați în considerare următoarele:

• Instalați numai aplicații din magazinele oficiale de aplicații

Google Play și Apple App Store au procese riguroase de verificare și monitorizare regulată pentru a elimina aplicațiile rău intenționate. Evitați descărcarea de aplicații de pe site-uri web terțe sau din surse neoficiale, deoarece este mai probabil să găzduiască produse malițioase.

• Verificați de două ori dezvoltatorii din spatele aplicațiilor și orice recenzii ale software-ului lor

Înainte de a descărca o aplicație, verificați acreditările dezvoltatorului și căutați alte aplicații pe care le-au dezvoltat și citiți recenziile utilizatorilor. Aplicațiile suspecte au adesea descrieri prost scrise, istoric limitat pentru dezvoltatori și probleme în a reflecta și feedback negativ.

• Aveți grijă când accesați reclame digitale

Reclamele digitale, în special pe platformele de social media precum Facebook, pot fi un vector comun pentru distribuirea de aplicații rău intenționate. În loc să intrați pe anunțuri, căutați direct aplicația sau toolul în magazinul oficial de aplicații pentru a vă asigura că obțineți versiunea legitimă.

• Verificați extensiile browserului web înainte de a le instala

Extensiile de browser web vă pot îmbunătăți experiența web, dar pot prezenta și riscuri de securitate. Verificați istoricul dezvoltatorului și citiți recenziile înainte de a instala orice extensie. Optați pentru dezvoltatori și extensii cunoscute, cu rating bun și feedback substanțial de la utilizatori.

• Utilizați un software extins de securitate, de la un furnizor renumit

Asigurați-vă că aveți un software de securitate robust de la un furnizor cunoscut instalat pe computer și pe toate dispozitivele mobile. Vă va oferi protecție în timp real împotriva programelor malware, tentativelor de phishing și a altor amenințări online.

• Fiți conștienți de phishing

Phishing-ul rămâne o amenințare permanentă. Fiți atenți la mesajele nesolicitate care vă cer să intrați pe linkuri sau să deschideți fișiere atașate. Verificați identitatea expeditorului înainte de a deschide orice e-mail, text sau mesaj de pe rețelele sociale care pare suspect.

• Activați autentificarea cu mai mulți factori (MFA) pentru toate conturile dvs. online

MFA adaugă un nivel suplimentar de securitate pentru conturile dvs. online, solicitând mai multe metode de verificare. Activați MFA ori de câte ori este posibil pentru a vă proteja conturile chiar și dacă parola este compromisă.

• Fiți vigilent

După cum am arătat mai sus, infractorii cibernetici nu pot rezista să nu exploateze entuziasmul din jurul noilor versiuni. Dacă vedeți o ofertă de a descărca o nouă versiune a unui instrument GenAI, verificați disponibilitatea sa prin canalele oficiale înainte de a continua. Verificați site-ul oficial sau surse de știri de încredere pentru a confirma lansarea. GenAI schimbă lumea din jurul nostru într-un ritm rapid. Asigurați-vă că nu o schimbă pe a dvs. în rău.