20/07/2023 às 09h57min - Atualizada em 21/07/2023 às 13h53min
Facebook é inundado por anúncios e páginas para falsos ChatGPT, Google Bard e outros serviços de IA
O objetivo é induzir os usuários do Facebook a baixarem conteúdo de páginas e anúncios de marcas falsas; esses downloads contêm malware malicioso que rouba suas senhas bancárias, de redes sociais, carteiras de criptomoedas e qualquer outra informação salva em seu navegador
Imagem ilustrativa - Divulgação Check Point Software
Os cibercriminosos seguem tentando novas formas de roubar informações privadas. Um novo golpe descoberto pelos pesquisadores da Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, usa o Facebook para enganar as pessoas com o objetivo de roubar suas senhas e seus dados privados, aproveitando o interesse por aplicativos populares de IA generativa.
Primeiro, os cibercriminosos criam páginas ou grupos falsos no Facebook para uma marca popular, incluindo conteúdo atrativo. A pessoa desavisada comenta ou curte o conteúdo, garantindo assim que ele apareça nos feeds de seus amigos. A página falsa oferece um novo serviço ou conteúdo especial por meio de um link. Mas, quando o usuário clica no link, ele inadvertidamente baixa um malware projetado para roubar suas senhas online, carteiras de criptomoedas e outras informações salvas em seu navegador.
“Os cibercriminosos estão ficando mais espertos. Eles sabem que todos estão interessados em IA generativa e estão usando páginas e anúncios do Facebook para representar ChatGPT, Google Bard, Midjourney e Jasper. Infelizmente, milhares de pessoas estão sendo vítimas desse golpe. Eles estão interagindo com as páginas falsas, o que aumenta sua disseminação – e até mesmo instalando malware disfarçado de ferramentas gratuitas de IA. Todos nós precisamos ficar atentos para garantir que estão baixando apenas arquivos de sites autênticos e confiáveis”, alerta Sergey Shykevich, gerente do grupo de Inteligência de Ameaças da Check Point Research (CPR).
Muitas das páginas falsas oferecem dicas, notícias e versões aprimoradas dos serviços de IA de Google Bard ou ChatGPT. Existem muitas versões do Bard New, Bard Chat, GPT-5, G-Bard AI e outros. Algumas postagens e grupos também tentam aproveitar a popularidade de outros serviços de IA, como o Midjourney.
Em muitos casos, os cibercriminosos também atraem os usuários para outros serviços e ferramentas de IA. Outra grande marca de IA, com mais de 2 milhões de fãs, que é representada por cibercriminosos é a Jasper AI. Isso também mostra como pequenos detalhes podem desempenhar um papel importante e significar a diferença entre um serviço legítimo e uma fraude.
Os usuários geralmente não têm ideia de que são golpes. Na verdade, eles estão discutindo apaixonadamente o papel da IA nos comentários e curtindo/compartilhando as postagens, o que amplia ainda mais seu alcance.
A maioria dessas páginas do Facebook leva a outras de destino de tipo semelhante, que incentivam os usuários a baixarem arquivos protegidos por senha que supostamente estão relacionados a mecanismos de IA generativos.
A Ascensão dos Infostealers
A maioria das campanhas que usam páginas falsas e anúncios maliciosos no Facebook acaba entregando algum tipo de malware para roubo de informações. Em junho de 2023, a CPR e outras empresas de segurança observaram várias campanhas que distribuem extensões de navegador maliciosas com o objetivo de roubar informações. Seu alvo principal parece ser os dados associados a contas do Facebook e o roubo de páginas do Facebook. Parece que os cibercriminosos estão tentando abusar das páginas existentes de grande público, incluindo orçamentos de publicidade, portanto, mesmo muitas páginas com grande alcance podem ser exploradas dessa maneira para disseminar ainda mais o golpe.
Outra campanha que explora a popularidade das ferramentas de IA usa uma isca “GoogleAI” para enganar os usuários a baixar os arquivos maliciosos, os quais contêm malware em um único arquivo de lote, como GoogleAI[.]bat . Da mesma forma que muitos outros ataques como esse, ele usa uma plataforma de compartilhamento de código-fonte aberto, desta vez o Gitlab, para recuperar o próximo estágio.
As campanhas descritas acima dependem extensivamente de vários serviços gratuitos e de redes sociais, bem como um conjunto de ferramentas de código aberto, carecendo de sofisticação significativa.
No entanto, nem todas as campanhas seguem esse padrão. A Check Point Research descobriu recentemente muitas campanhas sofisticadas que empregam anúncios do Facebook e contas comprometidas disfarçadas, entre outras coisas, como ferramentas de IA.
Essas campanhas avançadas introduzem um novo e oculto robô ladrão, ByosBot, que opera sob o radar. O malware abusa do dotnet bundle (arquivo único), formato independente que resulta em detecção estática muito baixa ou nenhuma. O ByosBot está focado em roubar informações de contas do Facebook, tornando essas campanhas autossustentáveis ou autoalimentadas: os dados roubados podem ser posteriormente utilizados para propagar o malware por meio de contas comprometidas recentemente.
O crescente interesse público em soluções baseadas em IA levou os agentes de ameaças a explorar essa tendência, principalmente aqueles que distribuem infostealers. Esse aumento pode ser atribuído aos mercados clandestinos em expansão, onde os intermediários (Initial Access Brokers) se especializam em adquirir e vender acesso ou credenciais para sistemas comprometidos. Além disso, o crescente valor dos dados usados para ataques direcionados, como Business E-mail Compromise (BEC) ou comprometimento de e-mail corporativo e spear-phishing, alimentou a proliferação de infostealers.
Os serviços autênticos de IA possibilitam que os cibercriminosos criem e implementem golpes fraudulentos de uma forma muito mais sofisticada e crível. Portanto, é essencial que indivíduos e organizações se eduquem, estejam cientes dos riscos e permaneçam atentos contra as táticas dos cibercriminosos. As soluções avançadas de segurança continuam sendo importantes na proteção contra essas ameaças em evolução.
Como identificar phishing e falsificação de identidade
Os ataques de phishing usam truques para convencer a vítima de que são legítimos. Algumas das maneiras de detectar um ataque de phishing são:
• Ignorar nomes de exibição: sites ou e-mails de phishing podem ser configurados para mostrar qualquer coisa no nome de exibição. Em vez de olhar para o nome de exibição, verifique o e-mail ou o endereço da Web do remetente para confirmar se ele vem de uma fonte confiável e autêntica.
• Verifique o domínio: os phishers geralmente usam domínios com pequenos erros ortográficos ou que parecem plausíveis. Por exemplo, company[.]com pode ser substituído por cormpany[.]com ou um e-mail pode ser de company-service[.]com . Procure esses erros ortográficos, eles são bons indicadores.
• Sempre baixe o software de fontes confiáveis: os grupos do Facebook não são a fonte da qual se pode baixar o software para o seu computador. Vá diretamente para uma fonte confiável, use sua página oficial. Não clique em downloads provenientes de grupos, fóruns não oficiais, entre outros.
• Verifique os links: os ataques de phishing de URL são projetados para induzir os destinatários a clicarem em um link malicioso. Passe o mouse sobre os links em um e-mail e veja se eles realmente vão para onde afirmam. Insira links suspeitos em uma ferramenta de verificação de phishing como phishtank[.]com, a qual informará se são links de phishing conhecidos. Se possível, não clique em nenhum link; visite o site da empresa diretamente e navegue até a página indicada.
Imagem ilustrativa - Divulgação Check Point Software
