En una revelación impactante, los estafadores en línea han manipulado el revuelo en torno a la inteligencia artificial generativa en una campaña maliciosa que lleva un año en curso. Según un informe de la firma de inteligencia de amenazas Google Mandiant, estos estafadores han estado distribuyendo programas de robo de información y puertas traseras bajo el pretexto de utilidades de IA.
La Estrategia Engañosa
En un giro ingenioso, el grupo de actores de amenazas denominado UNC6032, supuestamente vinculado a Vietnam, ha estado utilizando miles de anuncios engañosos destacados en plataformas como Facebook y LinkedIn. Haciéndose pasar por entidades legítimas como Luma AI, Canva Dream Lab y Kling AI, estos anuncios llevan a los usuarios desprevenidos a sitios web falsos casi idénticos. Aquí, en lugar del prometido contenido generado por IA, los usuarios reciben un archivo cargado de malware, que se suponía era una generación de video por IA.
Un Impacto Generalizado
El exhaustivo examen de Mandiant descubrió que estos anuncios han alcanzado aproximadamente a 2.3 millones de personas solo en la Unión Europea. Estos datos alarmantes reflejan hallazgos previos de la firma de seguridad Morphisec, que informó observaciones similares.
Las Técnicas Evasivas
Lo que diferencia a UNC6032 es su agilidad para evitar la detección. Los dominios recién registrados se utilizan rápidamente en anuncios, a veces en pocas horas de estar activos. Estos dominios son respaldados por cuentas de Facebook comprometidas, a través de las cuales se publican continuamente anuncios engañosos. Según el informe, algunos anuncios en LinkedIn potencialmente alcanzaron hasta 250,000 personas a través del sitio fraudulento klingxai.com
.
Malware Disfrazado de IA
Los sitios falsos replican de cerca las interfaces y logotipos de servicios de IA genuinos. Un sitio fraudulento representado como ‘Luma Dream AI Machine’ presentaba opciones regulares de creación de videos. Al interactuar con el usuario, el sitio simulaba una secuencia de procesamiento antes de mostrar un botón de ‘descarga’ que ocultaba un archivo zip perjudicial. El malware, Starkveil, incluido dentro de este archivo, comprende familias modulares como Grimpull, XWorm y Frostrift, capaces de robar datos y comprometer sistemas.
Innovaciones en la Entrega de Malware
Desarrollado en Rust, Starkveil emplea técnicas ingeniosas como el truco de doble extensión usando caracteres Unicode braille invisibles para ocultar archivos ejecutables maliciosos bajo tipos de archivos inofensivos. Tras la ejecución, Starkveil libera archivos embebidos en procesos de Windows confiables, utilizando la ofuscación para permanecer sin ser detectado.
Una Amenaza Continua
Las actualizaciones regulares de la infraestructura del grupo malicioso les permiten alojar cargas útiles en constante evolución. Sus tácticas resilientes incluyen la ofuscación dinámica de cargas útiles, haciendo que la detección estática sea cada vez más desafiante. El malware continúa ganando persistencia al incrustar claves de registro AutoRun y cargar dinámicamente DLLs dañinas a través de rutas ejecutables legítimas.
Respuestas Legislativas y de Ciberseguridad
El informe destaca las acciones de Meta para desmantelar estos anuncios dañinos y eliminar los dominios asociados con su propagación. Además, LinkedIn ha introducido herramientas de transparencia que proporcionan información sobre el alcance de los anuncios y patrones de orientación, ayudando a los investigadores a evaluar la amplitud de la exposición.
Según GovInfoSecurity, esta campaña maliciosa sirve como un recordatorio escalofriante de la continua batalla contra el cibercrimen, instando a la vigilancia y una rápida adaptación de las entidades de ciberseguridad en todo el mundo.