Cisco Talos waarschuwt voor ransomware via nepwebsites van populaire marketing AI-tools

Cybercriminelen liften mee op de ongekende populariteit van Artificial Intelligence (AI) door legitiem ogende websites te creëren die gekende AI-tools imiteren, maar in werkelijkheid ransomware en andere malware verspreiden. Dat blijkt uit recent onderzoek van Talos Intelligence, de cyberdreigingsonderzoekstak van Cisco.

De aanvallen maken gebruik van websites die sterk lijken op die van populaire AI-diensten, zoals ChatGPT, InVideo AI en Nova AI. Zo ontdekte Cisco Talos een vals ChatGPT 4.0- installatieprogramma, waarin de Lucky_Gh0$t ransomware verpakt zit.

In het .zip-bestand zaten ook legitieme AI-tools van Microsoft zodat de criminele bende virusdetectie kan omzeilen. Lucky_Gh0$t versleutelt kleine bestanden, en verwijdert en vervangt grotere bestanden door een junkbestand van dezelfde grootte. Slachtoffers van Lucky_Gh0$t ontvangen een persoonlijke ID om via het beveiligde messengerplatform Session over losgeld te onderhandelen. De nieuwe ransomware is afgeleid van Yashma, die zelf weer is gebaseerd op de Chaos-ransomware.

“De AI-hype biedt cybercriminelen een perfecte dekmantel,” zegt Jan Heijdra, Field CTO security bij Cisco Nederland. “Gebruikers vertrouwen soms te snel op nieuwe tools zonder voldoende te controleren waar ze deze vandaan halen, of staan te weinig stil bij interessante promoties zoals gratis toegang voor de eerste 12 maanden. Als het te mooi klinkt, dat is het ook vaak zo. Zeker bij nieuwe tools is het raadzaam om waakzaam te blijven.”

Nog een kwaadaardig domein dat naar ransomware leidt is novaleadsai.com, dat sterk lijkt op het legitieme novaleads.app. Dat is een platform waarmee bedrijven de conversie van leads verhogen via verschillende diensten en prestatiegerichte modellen. De CyberLock-ransomware in het installatieprogamma claimt volledige toegang te hebben tot geheime en zakelijke documenten, persoonlijke bestanden en confidentiële databases. De cybercriminelen eisen 50.000 dollar losgeld, te betalen in Monero (XMR) cryptomunten. Ze beweren dat dat het bedrag wordt gebruikt voor humanitaire hulp aan regio’s in Palestina, Oekraïne, Afrika en Azië. De betaling wordt gespreid over twee verschillende wallets, wat het moeilijker maakt om ze traceren.

Met InVideo AI ontdekte Cisco Talos een derde legitieme AI-tool die door geavanceerde malware wordt nagebootst. Het tot nu ongekende ‘Numero’ imiteert de installer van InVideo AI, een online tool die wordt gebruikt om marketingvideo’s, inhoud voor sociale media en presentaties te maken. De ransomware creëert een soort loop die de grafische interface van een computer in de war stuurt door continu bestandsnamen over te schrijven. Numero is ontworpen om Windows-systemen onklaar te maken.

Belangrijke tips voor bescherming
• Controleer altijd de URL van de website: Ga na of de domeinnaam exact overeenkomt met die van de officiële aanbieder.
• Download software uitsluitend van officiële bronnen of bekende app stores.
• Gebruik endpoint-beveiliging en zorg dat alle software up-to-date is.
• Let op verdachte e-mails of advertenties die AI-tools promoten.