Мошенники создают поддельные сайты с применением ИИ и добавляют в них вредоносные сборки легитимного ПО Лаборатория Касперского

Лаборатория Касперского предупредила о новом виде мошенничества, когда злоумышленники создают поддельные сайты с применением искусственного интеллекта и добавляют в них вредоносные сборки легитимного программного обеспечения. Используя такие сборки, атакующие пытаются получить доступ к криптовалютным счетам пользователей в разных странах.

"Лаборатория Касперского" обнаружила новую вредоносную кампанию. Злоумышленники генерируют с применением ИИ поддельные сайты, чтобы распространять через них троянизированные сборки легитимного инструмента удалённого доступа Syncro. Если человек скачает такое ПО, атакующие получат полный доступ к его заражённому устройству. Цель злоумышленников – кража ключей от криптокошельков. По данным компании, атакам подвергаются пользователи в Латинской Америке, Азиатско-Тихоокеанском регионе, Европе и Африке", – говорится в сообщении.

Как и какие сайты генерируют злоумышленники. Для создания вредоносных страниц атакующие используют ИИ-сервис. Поддельные сайты весьма убедительно имитируют популярные лендинги криптокошельков, защитных решений и менеджеров паролей, хоть и не копируют сайты полностью.
Как потенциальные жертвы попадают на поддельные сайты. Пользователь может столкнуться с вредоносными страницами в поисковой выдаче или фишинговых письмах. Если жертва перейдёт на поддельную страницу, которая имитирует сайт компании-разработчика защитных решений или менеджера паролей, она увидит предупреждение о некой проблеме безопасности. Далее человеку предложат скачать ПО, которое якобы позволит эту проблему решить. Это известная тактика: атакующие побуждают жертву скачать вредоносное приложение под видом защиты от несуществующей угрозы.
Что происходит дальше. Если пользователь считает сайт доверенным, скачивает и запускает предлагаемое ПО, он получает на устройство вредоносную сборку Syncro. Легитимный инструмент используют специалисты техподдержки ИТ-отделов в разных компаниях. В данном же случае злоумышленники поучают полный доступ к скомпрометированному устройству жертвы: могут видеть экран, просматривать файлы и выполнять команды.
Решения «Лаборатории Касперского» детектируют вредоносные сборки Syncro как HEUR:Backdoor.OLE2.RA-Based.gen.

"Эта кампания наглядно демонстрирует, как меняется ландшафт киберугроз. Поставив с помощью ИИ генерацию убедительных поддельных сайтов на поток, злоумышленники могут эффективно масштабировать атаки. Однако в своих схемах мошенники, как правило, продолжают делать ставку на доверие пользователей к знакомым брендам и их готовность среагировать на срочное предупреждение. Очень важно помнить, что во время скачивания любого программного обеспечения, даже из, казалось бы, надёжных источников, пользователям необходимо сохранять бдительность", – комментирует эксперт по кибербезопасности в "Лаборатории Касперского" Владимир Гурский.

Для защиты от подобных киберугроз «Лаборатория Касперского» рекомендует:

не загружать программы из сомнительных источников; всегда перепроверять адреса тех страниц, на которых вы находитесь, перед тем как совершить то или иное потенциально опасное действие, будь то загрузка приложения или ввод личных данных; использовать надёжное защитное решение от вендора, эффективность технологий которого подтверждается независимыми тестами: оно вовремя распознает угрозу и не позволит установить вредоносную программу на устройство, перейти на фишинговый или скам-ресурс; внимательно следить за любыми уведомлениями защитного решения: стоит относиться к ним серьёзно и как минимум проверить, с каким приложением они связаны.