Ιστοσελίδες που δημιουργούνται με AI διαδίδουν νόμιμο remote λογισμικό για κακόβουλες επιθέσεις

Η Kaspersky εντόπισε μια νέα απειλή που στοχεύει χρήστες σε Λατινική Αμερική, Ασία-Ειρηνικό, Ευρώπη και Αφρική, όπου οι επιτιθέμενοι εκμεταλλεύονται ιστοσελίδες που έχουν δημιουργηθεί με τεχνητή νοημοσύνη προκειμένου να προωθήσουν νόμιμες εκδόσεις του remote access εργαλείου Syncro.

Αυτές οι ψεύτικες ιστοσελίδες προσελκύουν χρήστες μέσω μηχανών αναζήτησης ή μέσω phishing emails και μιμούνται δημοφιλείς εφαρμογές, όπως crypto wallets, antivirus και password managers, παρασύροντάς τους να τις κατεβάσουν. Στη συνέχεια, χρησιμοποιούν τις εφαρμογές αυτές για κακόβουλους σκοπούς. Η εκστρατεία συνδυάζει τεχνικές scareware — για παράδειγμα, τρομάζει τους χρήστες με παραπλανητικές ειδοποιήσεις ασφαλείας– με στόχο να επιτρέψει τον απομακρυσμένο έλεγχο των συσκευών των θυμάτων και να διευκολύνει την κλοπή κρυπτονομισμάτων.

Οι επιτιθέμενοι χρησιμοποιούν τον AI website builder “Lovable” για να δημιουργούν σελίδες με επαγγελματική εμφάνιση, επιλέγοντας domain names που ευθυγραμμίζονται στενά με συνηθισμένα ερωτήματα αναζήτησης σε συναφή θέματα όπως, για παράδειγμα, το Polymarket, μια ολοκληρωμένη πλατφόρμα prediction market. Οι ιστοσελίδες δεν αποτελούν πιστά αντίγραφα των αυθεντικών, αλλά πειστικές παραλλαγές, καθιστώντας δύσκολη την ανίχνευσή τους με μια γρήγορη ματιά.

Οι ιστοσελίδες αντλούν επισκεψιμότητα κυρίως από αποτελέσματα αναζήτησης ή παραπλανητικών emails που υπόσχονται token migrations ή προτρέπουν τους χρήστες να εγκαταστήσουν μια trading εφαρμογή, ένα antivirus ή κάποιες ενημερώσεις λογισμικού. Σε όλες τις περιπτώσεις, οι χρήστες καταλήγουν να εγκαθιστούν το Syncro — ένα εργαλείο που χρησιμοποιείται συνήθως από ομάδες IT για την απομακρυσμένη πρόσβαση σε υπολογιστές. Στο σενάριο αυτό, το εργαλείο εγκαθίσταται με προκαθορισμένες ρυθμίσεις και παρέχει στους επιτιθέμενους πλήρη πρόσβαση στις συσκευές των θυμάτων, συμπεριλαμβανομένης της προβολής οθόνης, της πρόσβασης σε αρχεία και της εκτέλεσης εντολών, χωρίς να ενεργοποιεί συνήθεις ειδοποιήσεις antivirus, καθώς δεν είναι εγγενώς κακόβουλο.

«Αυτή η εκστρατεία αναδεικνύει το πώς εξελίσσεται το τοπίο των απειλών, όπου νόμιμα εργαλεία μετατρέπονται σε όπλα μέσω παραπλάνησης που υποστηρίζεται από την τεχνητή νοημοσύνη. Με την αυτοματοποίηση της δημιουργίας ψεύτικων ιστοσελίδων, οι κυβερνοεγκληματίες μπορούν να κλιμακώνουν τις επιθέσεις αποτελεσματικά, εκμεταλλευόμενοι την εμπιστοσύνη των χρηστών σε οικεία brands και συχνά παραπλανητικές προειδοποιήσεις. Είναι μια σημαντική υπενθύμιση ότι ακόμη και ένα λογισμικό από φαινομενικά αξιόπιστες πηγές απαιτεί προσεκτικό έλεγχο»,σχολιάζει ο Vladimir Gursky, αναλυτής κακόβουλου λογισμικού στην Kaspersky.

Για την προστασία από αυτές τις επιθέσεις, η Kaspersky συνιστά να αποφεύγετε τη λήψη λογισμικού από μη επαληθευμένες πηγές, ειδικά σε συσκευές που χρησιμοποιούνται για οικονομικές συναλλαγές ή για τη διαχείριση κρυπτονομισμάτων. Πάντα να ελέγχετε ότι τα URLs αντιστοιχούν στις επίσημες ιστοσελίδες πριν προχωρήσετε και να δίνετε ιδιαίτερη προσοχή σε εργαλεία απομακρυσμένης πρόσβασης που προτείνονται για εγκατάσταση ή φαίνεται να έχουν ήδη εγκατασταθεί. Επιπλέον, ενεργοποιήστε τις λειτουργίες anti-phishing και πραγματοποιείτε τακτικούς ελέγχους ασφαλείας ώστε να μειώσετε τους κινδύνους από scareware και επιθέσεις μέσω εργαλείων απομακρυσμένης πρόσβασης