Злоумышленники создают сайты, на которых якобы можно получить доступ к ИИ-решению EditProAI. Такие фальшивы генераторы изображений заражают Windows и macOS малварью Lumma и AMOS, которая затем используется для кражи учетных данных и информации криптовалютных кошельков.
Напомним, что Lumma представляет собой инфостилер для Windows, а AMOS — для macOS. Оба вредоноса воруют с зараженной машины данные криптовалютных кошельков, cookie, учетные данные, пароли, информацию о банковских картах и историю посещений из браузеров Google Chrome, Microsoft Edge, Mozilla Firefox и других.
Одним из первых появление фальшивого ИИ-генератора EditProAI заметил ИБ-исследователь, известный под ником G0njxa. Он обнаружил, что вредоносные сайты активно продвигаются в поиске и посредством рекламы в соцсети X, где для привлечения внимания публикуются политические дипфейки (например, как президенты Байден и Трамп вместе едят мороженое).
Кликнув на такое изображение или видео, пользователь попадает на фальшивый сайт EditProAI: editproai[.]pro, ориентированный на Windows, или editproai[.]org, предназначенный для macOS.
При нажатии на ссылку «Get Now» («Получить сейчас») на машину жертвы загружается исполняемый файл, выдающий себя за приложение EditProAI. Для пользователей Windows этот файл называется Edit-ProAI-Setup-newest_release.exe (VirusTotal), а для macOS — EditProAi_v.4.36.dmg (VirusTotal).
При этом отмечается, что малварь для Windows подписана украденным сертификатом с сайта разработчика бесплатных утилит Softwareok.com.
По словам G0njxa, малварь использует панель по адресу proai[.]club/panelgood/ для передачи украденных данных, которые впоследствии могут забрать злоумышленники.
Исследователь предупреждает, что все пользователи, загружавшие EditProAI, могут считать себя скомпрометированными. Следует считать, что все сохраненные пароли, информация о криптовалютных кошельках и секреты аутентификации попали в руки хакеров. Поэтому рекомендуется немедленно сбросить все учетные данные, установив новые и уникальные пароли для всех сайтов и сервисов.
Также рекомендуется включить многофакторную аутентификацию особенно на криптовалютных биржах, в почтовых сервисах, банках и на других важных сайтах.