MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Access

AI tools are the new bait


مجرمو الإنترنت يستهدفون مستخدمي أدوات الذكاء الاصطناعي عبر مثبتات مزيفة محملة بالبرمجيات الخبيثة

تم رصد حملة خبيثة يستخدم فيها المهاجمون مثبتات مزيفة لأدوات ذكاء اصطناعي شهيرة مثل ChatGPT من OpenAI وInVideo AI، لنشر برمجيات فدية متنوعة مثل CyberLock وLucky_Gh0$t، إلى جانب برمجية تخريبية جديدة تُدعى Numero.

وفقًا لتقرير من Cisco Talos، فإن برمجية CyberLock، المبنية بلغة PowerShell، تركز على تشفير ملفات محددة، بينما تعتبر Lucky_Gh0$t نسخة متطورة من Yashma، وهي النسخة السادسة من سلسلة Chaos الخاصة ببرامج الفدية.

أما برمجية Numero فهي مختلفة، حيث تقوم بتخريب واجهة المستخدم الرسومية لنظام ويندوز، مما يجعل الجهاز غير قابل للاستخدام.

استهداف قطاعات التسويق والمبيعات

تشير التحليلات إلى أن الأدوات المزيفة تستهدف العاملين في قطاعي المبيعات B2B والتسويق، حيث تحاكي المواقع الخبيثة أدوات مشهورة لتوليد الفيديوهات أو تحسين الحملات الإعلانية.

أحد هذه المواقع هو: novaleadsai[.]com، والذي يُعتقد أنه ينتحل موقع NovaLeads الحقيقي، ويتم الترويج له باستخدام تقنيات تحسين محركات البحث الخبيثة (SEO Poisoning).

يُعرض على المستخدمين تنزيل الأداة مع "عرض مجاني للسنة الأولى"، ليقوموا في الواقع بتحميل ملف ZIP يحتوي على ملف "NovaLeadsAI.exe"، وهو محمل يقوم بتثبيت برمجية CyberLock.

تفاصيل هجوم CyberLock

البرمجية ترفع صلاحياتها تلقائيًا إن لم تكن تعمل كمسؤول، وتقوم بتشفير الملفات في الأقراص C وD وE. بعد ذلك، يتم عرض مذكرة فدية تطالب بدفع 50,000 دولار بعملة Monero خلال 3 أيام.

وتتضمن المذكرة رسالة تدّعي أن الأموال ستُستخدم لدعم النساء والأطفال في فلسطين وأوكرانيا وأفريقيا وآسيا، في محاولة لكسب التعاطف.

أخيرًا، تستخدم البرمجية أداة "cipher.exe" مع الخيار "/w" لمسح المساحة غير المستخدمة في الأقراص، مما يصعّب من عملية استعادة الملفات المحذوفة.

البرمجية Lucky_Gh0$t

تم أيضًا رصد نسخة من Lucky_Gh0$t مخفية ضمن مثبت مزيف لنسخة مدفوعة من ChatGPT. يحتوي الملف على مجلد يضم الملف التنفيذي "dwn.exe" الذي يتنكر على شكل ملف Windows شرعي "dwm.exe"، بالإضافة إلى أدوات ذكاء اصطناعي شرعية من GitHub.

عند تشغيل المثبت، يتم تنفيذ برمجية الفدية التي تقوم بتشفير الملفات التي يقل حجمها عن 1.2 جيجابايت، بعد حذف النسخ الاحتياطية وظلال الأقراص.

الهجوم ببرمجية Numero

أما برمجية Numero فتُنشر عبر مثبت مزيف لمنصة InVideo AI. ويتكون الملف من ثلاث أجزاء: ملف Batch، سكربت VBScript، والملف التنفيذي للبرمجية. يعمل الملف في حلقة لا نهائية لتشغيل وإيقاف البرمجية دوريًا.

البرمجية تقوم بمسح أدوات تحليل البرمجيات والديباغر، ثم تعبث بواجهة المستخدم وتستبدلها بسلسلة أرقام "1234567890"، مما يؤدي إلى تدمير تجربة استخدام النظام بالكامل.

حملة إعلانية خبيثة على فيسبوك ولينكد إن

تزامنًا مع ذلك، كشفت شركة Mandiant عن حملة إعلانات خبيثة تستهدف المستخدمين على فيسبوك ولينكد إن، وتوجههم إلى مواقع مزيفة لأدوات ذكاء اصطناعي مثل Luma AI وCanva Dream Lab وKling AI.

تقوم هذه المواقع بإيهام المستخدمين بإدخال تعليمات لإنشاء فيديو، لكنها في الواقع تُنزّل برمجية Rust خبيثة تُدعى STARKVEIL.

STARKVEIL تُطلق ثلاث برمجيات خبيثة:

  • GRIMPULL: أداة تحميل تستخدم TOR لجلب حمولات .NET إضافية
  • FROSTRIFT: باب خلفي يجمع بيانات النظام ويستهدف إضافات مديري كلمات المرور والمحافظ الرقمية
  • XWorm: برنامج تحكم عن بُعد يمكنه تسجيل المفاتيح، تنفيذ الأوامر، التقاط الشاشة، وجمع البيانات

كما تعمل STARKVEIL كوسيط لإطلاق أداة Python تُدعى COILHATCH، والتي تقوم بتشغيل البرمجيات الثلاثة عبر أسلوب DLL side-loading.

الاستنتاج

أصبح من الواضح أن الأدوات المزيفة لم تعد تستهدف فقط المصممين والمطورين، بل أي مستخدم عادي يمكن أن يقع ضحية لإعلان مضلل أو عرض مغرٍ.

مع تزايد اعتماد الأفراد والمؤسسات على أدوات الذكاء الاصطناعي، أصبحت هذه الحملات تشكل تهديدًا خطيرًا يتطلب استجابة أمنية استباقية.