La crescente popolarità dell’intelligenza artificiale ha attirato l’attenzione dei criminali informatici che hanno sviluppato campagne su Facebook per diffondere malware tra gli utenti ignari. Questi hacker utilizzano annunci pubblicitari su Facebook e pagine dirottate per promuovere falsi servizi di intelligenza artificiale come MidJourney, SORA di OpenAI, ChatGPT-5 e DALL-E, al fine di infettare i computer degli utenti con malware che ruba le password.
Le campagne di malvertising
Le campagne malware vengono create da profili Facebook dirottati che si fingono popolari servizi di intelligenza artificiale, offrendo anteprime di nuove funzionalità. Gli utenti ingannati dagli annunci diventano membri di comunità fraudolente su Facebook, dove gli attori minacciosi pubblicano notizie, immagini generate dall’AI e altre informazioni correlate per dare l’impressione di autenticità.
Tuttavia, i post della comunità spesso promuovono l’accesso per un periodo limitato a servizi di intelligenza artificiale molto attesi, convincendo gli utenti a scaricare eseguibili maligni che infettano i computer Windows con malware che ruba informazioni, come Rilide, Vidar, IceRAT e Nova.
Il malware che ruba informazioni
Il malware che ruba informazioni si concentra nel sottrarre dati dal browser della vittima, tra cui credenziali memorizzate, cookie, informazioni sul portafoglio di criptovalute, dati di autocompletamento e informazioni sulla carta di credito. Questi dati vengono venduti sui mercati del dark web o utilizzati dagli attaccanti per violare gli account online della vittima, promuovere altre truffe o commettere frodi.
La campagna Midjourney
L’enorme portata di queste campagne è impressionante, poiché l’interesse delle persone per l’intelligenza artificiale è attualmente molto alto. I progressi nel campo sono così rapidi che non è facile per le persone rimanere aggiornate e distinguere gli annunci legittimi dalle falsificazioni evidenti.
In uno dei casi riscontrati dai ricercatori di Bitdefender, una pagina Facebook malevola che impersonava Midjourney ha raggiunto 1,2 milioni di follower ed è rimasta attiva per quasi un anno prima di essere finalmente chiusa. La pagina non è stata creata da zero; invece, gli attaccanti hanno dirottato un profilo esistente nel giugno 2023 e lo hanno convertito in una falsa pagina di Midjourney. Facebook ha chiuso la pagina l’8 marzo 2024.
Molti post hanno ingannato le persone facendo loro scaricare gli infostealer promuovendo una versione desktop inesistente dello strumento. Alcuni post hanno evidenziato il rilascio della versione V6, che non è ancora ufficialmente disponibile (l’ultima versione è la V5).
In altri casi, gli annunci malevoli hanno promosso opportunità per creare arte NFT e monetizzare le proprie creazioni. Poiché è possibile visualizzare i parametri di targeting degli annunci Facebook nella Meta Ad Library, i ricercatori hanno scoperto che gli annunci erano mirati a un pubblico demografico di uomini tra i 25 e i 55 anni in Europa, principalmente in Germania, Polonia, Italia, Francia, Belgio, Spagna, Paesi Bassi, Romania e Svezia.
L’importanza della vigilanza online
Invece di utilizzare collegamenti a Dropbox e Google Drive per ospitare i payload, gli operatori di questa campagna hanno creato molti siti che clonavano la pagina di destinazione ufficiale di Midjourney, ingannando gli utenti a scaricare quella che pensavano fosse l’ultima versione dello strumento per generare arte tramite un collegamento GoFile.
Tuttavia, invece di ottenere la nuova versione di Midjourney, gli utenti hanno scaricato Rilide v4, un’estensione che si fa passare per Google Translate per il browser, nascondendo efficacemente il malware mentre sottraeva i cookie di Facebook e altri dati in background. Sebbene questa pagina sia stata chiusa, gli attori minacciosi hanno creato una nuova pagina ancora attiva con oltre 600.000 membri che promuove un sito falso di Midjourney che distribuisce malware.
La recente pagina malevola che impersona Midjourney sembra essere stata presa di mira dagli attaccanti il 18 marzo, quando i cybercriminali hanno cambiato il nome originale della pagina Facebook. Al 26 marzo, il profilo truffaldino contava 637.000 follower.
Il successo di questa campagna evidenzia la sofisticazione delle strategie di malvertising basate sui social media e l’importanza della vigilanza quando si interagisce con gli annunci online. La vasta portata dei social media come Facebook, unita a una moderazione insufficiente, consente a queste campagne di persistere per lunghi periodi, facilitando la diffusione incontrollata di malware che causa danni estesi.