Uma nova onda de crimes cibernéticos está explorando a popularidade da inteligência artificial (IA) para enganar usuários do Windows e macOS usando geradores de vídeo de IA falsos.
Pesquisadores de segurança identificaram sites fraudulentos que distribuem malware disfarçado de um programa de edição de vídeo e imagem chamado EditProAI.
De acordo com um relatório do BleepingComputer, essa campanha utiliza dois malwares específicos: o Lumma Stealer, para Windows, e o AMOS, para macOS.
Esses programas maliciosos têm como principal objetivo roubar dados sensíveis, incluindo carteiras de criptomoedas, senhas salvas, cookies, credenciais de login, dados de cartões de crédito e históricos de navegação.
Navegadores web amplamente usados, como Google Chrome, Mozilla Firefox e Microsoft Edge, são os principais alvos desses ataques.
Os dados roubados são compilados em um arquivo único e enviados para servidores controlados pelos criminosos. Essas informações podem ser vendidas em mercados clandestinos ou utilizadas para outros ataques cibernéticos.
Como os hackers atraem as vítimas
Os cibercriminosos criaram anúncios enganosos em plataformas como o X (antigo Twitter) e em resultados de mecanismos de busca. Esses anúncios promovem o EditProAI com promessas de funcionalidades avançadas de IA.
Para atrair ainda mais cliques, alguns anúncios incluem vídeos manipulados (deepfakes), como o presidente dos EUA, Joe Biden, e Donald Trump compartilhando sorvete, um cenário bizarro, mas eficaz para chamar a atenção.
Ao clicar nos anúncios, as vítimas são redirecionadas para dois sites: editproai[.]pro e editproai[.]org. Esses sites possuem design profissional e banners de cookies, o que os faz parecer legítimos.
Porém, ao clicar no botão "Obter agora", o usuário baixa arquivos infectados, que são configurados para instalar os malwares nos dispositivos.
Detalhes de cada malware
O malware usado para atacar o Windows age por meio de um arquivo chamado Edit-ProAI-Setup-newest_release.exe [VirusTotal], digitalmente assinado com um certificado roubado de uma empresa legítima, a Softwareok.com.
Após instalado, ele coleta informações do usuário e envia os dados para um servidor malicioso hospedado em proai[.]club/panelgood/.
O Lumma Stealer, identificado pela análise do AnyRun (um serviço especializado em sandbox de malware), é o responsável por comprometer os dispositivos Windows nessa campanha.
Já os usuários de macOS são infectados ao baixar um arquivo chamado EditProAi_v.4.36.dmg [VirusTotal], que também contém o malware AMOS.
Os detalhes técnicos sobre o AMOS foram menos documentados, mas sabe-se que ele tem funções semelhantes às do Lumma Stealer. Quem baixou e instalou o software malicioso corre sérios riscos de ter suas informações expostas.
Entre os prejuízos potenciais estão o roubo de dados bancários, perda de acesso a contas importantes e até prejuízos financeiros causados por transações fraudulentas.
Essa campanha de malware mostra como os cibercriminosos estão inovando para enganar as pessoas. A combinação de sites fraudulentos bem elaborados e a popularidade da IA cria o cenário perfeito para ataques como esse.
