Σύμφωνα με μια νέα έκθεση που δημοσιεύτηκε από ερευνητή ασφαλείας της ESET, κυβερνοεγκληματίες προσπαθούν να διανείμουν malware σε ανυποψίαστα θύματα, προωθώντας υποτιθέμενες γνήσιες εφαρμογές και bots τεχνητής νοημοσύνης (ΑΙ). Συγκεκριμένα, ο ερευνητής εντόπισε μια διαφήμιση στο Facebook που προωθούσε την “πιο πρόσφατη έκδοση του αυθεντικού εργαλείου AI της Google, Bard“.
Σύμφωνα με τον ερευνητή Thomas Uhlemann της ESET, υπήρχαν αρκετά στοιχεία που έδειχναν ότι αυτή η διαφήμιση ήταν ψεύτικη. Για παράδειγμα, ο σύνδεσμος που εμφανιζόταν δεν οδηγούσε σε κανένα αναγνωρίσιμο Google domain. Αντίθετα, οδηγούσε τους χρήστες σε μια άγνωστη υπηρεσία με το όνομα rebrand.ly, μια υπηρεσία χωρίς προφανείς δεσμούς με την Google και με γραφεία στο Δουβλίνο της Ιρλανδίας.
Δείτε επίσης: Η Ivanti προειδοποιεί για ένα νέο zero-day bug του MobileIron
Μια προσεκτικότερη εξέταση αποκάλυψε, επίσης, ότι υπήρχαν κάποια λάθη στη γλώσσα που είχε χρησιμοποιηθεί στη διαφήμιση αλλά και στην ενότητα των συνδεδεμένων σχολίων. Τα θετικά σχόλια για το υποτιθέμενο Google Bard app ήταν κάπως “γενικά”, χωρίς συγκεκριμένο πλαίσιο που σχετίζεται με την Google. “Η αναφορά μόνο στην «εφαρμογή» φαινόταν μάλλον γενική, ενώ άλλοι επαίνεσαν το «AI», χωρίς να αναφέρουν καθόλου την Google“, είπε ο ερευνητής. Κάποιοι έδιναν “βαθμολογία 5 αστέρια”. Επιπλέον, όλα τα σχόλια φαίνονταν να είχαν γίνει την ίδια ώρα.
Ερευνώντας βαθύτερα το θέμα, ο ερευνητής Uhlemann αποκάλυψε έναν ύποπτο σύνδεσμο που επισημάνθηκε από ορισμένους προμηθευτές προστασίας από ιούς. Η πρόσβαση στον σύνδεσμο μέσω ενός ανώνυμου παραθύρου του προγράμματος περιήγησης αποκάλυψε μια ιστοσελίδα που μεταμφιέζεται ως νόμιμος ιστότοπος της Google. Η πρόσβαση σε μια τέτοια σελίδα ενώ είστε συνδεδεμένοι σε ένα πρόγραμμα περιήγησης θα μπορούσε ενδεχομένως να εκθέσει τις ευαίσθητες πληροφορίες σας.
Δείτε επίσης: Google αποτελέσματα αναζήτησης: Διαφήμιση για την Amazon οδηγεί σε απάτη
Ενώ ο ιστότοπος φιλοξενούνταν στην υποδομή cloud της Google, το περιεχόμενό του δεν είχε σχέση με την εταιρεία.
Άλλα στοιχεία που παρατήρησε ο ερευνητής είναι ένας βιετναμέζικος τίτλος στην καρτέλα του προγράμματος περιήγησης και γλωσσικές ανωμαλίες που υποδήλωναν πιθανή σύνδεση με επιτιθέμενους στο Βιετνάμ. Επίσης, το κουμπί “Λήψη” οδήγησε σε έναν προσωπικό χώρο στο Google Drive, σε μια προσπάθεια να νομιμοποιηθεί η διανομή κακόβουλου λογισμικού ως επίσημη υπηρεσία της Google.
Το ληφθέν αρχείο, με το όνομα GoogleAIUpdate.rar, προστατεύονταν με κωδικό πρόσβασης. Ο ερευνητής έσπασε τον κωδικό πρόσβασης, αποκαλύπτοντας ένα πρόγραμμα εγκατάστασης MSI που περιείχε malware.
Το λογισμικό προστασίας από ιούς επεσήμανε αμέσως το πρόγραμμα εγκατάστασης ως κακόβουλο, καθώς είχε τη δυνατότητα να τροποποιήσει τις ρυθμίσεις του προγράμματος περιήγησης και να γεμίσει τους χρήστες με ανεπιθύμητες διαφημίσεις.
Όταν ο ερευνητής δημοσίευσε την έκθεσή του η καμπάνια ήταν ακόμα ενεργή σε διαφορετικές παραλλαγές.
Δείτε επίσης: Η BlackCat ransomware συμμορία παραβίασε τη Seiko
“Δυστυχώς, φαίνεται ότι αυτή μπορεί να είναι μια μεγαλύτερη καμπάνια, καθώς έχω συναντήσει τώρα άλλα παραδείγματα όπως “meta AI” ή άλλες ψεύτικες διαφημίσεις Google AI“, είπε ακόμα.
Οι κυβερνοεγκληματίες εκμεταλλεύονται τη δημοτικότητα των AI bots για να παραπλανήσουν χρήστες. Αν και η συγκεκριμένη καμπάνια δεν ήταν περίπλοκη και μπορούσε κανείς να εντοπίσει τα σημάδια απάτης, σίγουρα πολλοί άνθρωποι θα υποκύψουν σε μια τέτοια απάτη. Δυστυχώς, ακόμα και οι μεγάλοι τεχνολογικοί γίγαντες όπως το Facebook και η Google δεν μπορούν να παρέχουν 100% καθαρά και ασφαλή περιβάλλοντα, γι’ αυτό το λόγο πρέπει να είμαστε πολύ προσεκτικοί.
Πηγή: www.infosecurity-magazine.com
