De faux générateurs d’images et de vidéos IA infectent Windows et macOS avec le Lumma Stealer et les logiciels malveillants de vol d’informations AMOS, utilisés pour voler les informations d’identification et les portefeuilles de crypto-monnaie des appareils infectés.
Lumma Stealer est un malware Windows et AMOS est pour macOS, mais les deux volent des portefeuilles de crypto-monnaie et des cookies, des informations d’identification, des mots de passe, des cartes de crédit et l’historique de navigation de Google Chrome, Microsoft Edge, Mozilla Firefox et d’autres navigateurs Chromium.
Ces données sont collectées dans une archive et renvoyées à l’attaquant, où il peut utiliser les informations dans d’autres attaques ou les vendre sur des places de marché de la cybercriminalité.
De faux générateurs d’images IA poussent Lumma Stealer
Au cours du dernier mois, des acteurs de la menace ont créé de faux sites Web qui se font passer pour un éditeur de vidéos et d’images IA appelé EditPro.
Comme l’a découvert le chercheur en cybersécurité g0njxa, les sites sont promus via des résultats de recherche et des publicités sur X qui partagent des vidéos politiques deepfake, telles que le président Biden et Trump dégustant une glace ensemble.
En cliquant sur les images, vous accédez à de faux sites Web pour l’application éditoriale, avec éditorial[.] conçu pour pousser les logiciels malveillants Windows et editproai[.] organisation pour pousser les logiciels malveillants macOS.
Les sites sont d’aspect professionnel et contiennent même la bannière omniprésente des cookies, ce qui les rend légitimes.
Cependant, cliquer sur les liens » Obtenir maintenant » téléchargera un exécutable prétendant être l’application éditoriale. Pour les utilisateurs de Windows, le fichier s’appelle » Edit-ProAI-Setup-newest_release.exe « [VirusTotal] et pour macOS, il est nommé » Editorial_v. 4. 36.dmg » [VirusTotal].
Le logiciel malveillant Windows est signé par ce qui semble être un certificat de signature de code volé de Softwareok.com, un développeur d’utilitaires gratuits.
G0njxa dit que les logiciels malveillants utilisent un panneau à » proai[.] club / panelgood/ » pour envoyer des données volées, qui peuvent ensuite être récupérées ultérieurement par les auteurs de la menace.
Un rapport AnyRun montre l’exécution de la variante Windows, le service sandbox détectant le logiciel malveillant en tant que voleur Lumma.
Si vous avez téléchargé ce programme dans le passé, vous devez considérer que tous vos mots de passe enregistrés, portefeuilles de crypto-monnaie et authentifications sont compromis et les réinitialiser immédiatement avec des mots de passe uniques sur chaque site que vous visitez.
Vous devez également activer l’authentification multifacteur sur tous les sites sensibles, tels que les échanges de crypto-monnaie, les services bancaires en ligne, les services de messagerie et les services financiers.
Les logiciels malveillants de vol d’informations ont connu une croissance massive au cours des dernières années, les acteurs de la menace menant des opérations mondiales massives pour voler les informations d’identification et les jetons d’authentification des personnes.
Parmi les autres campagnes qui ont récemment poussé les vendeurs d’informations, citons l’utilisation de vulnérabilités zero-day, de fausses corrections de problèmes sur GitHub et même de fausses réponses sur StackOverflow.
Les informations d’identification volées sont ensuite utilisées pour violer les réseaux d’entreprise, mener des campagnes de vol de données comme nous l’avons vu avec les violations massives de comptes SnowFlake et semer le chaos en corrompant les informations de routage du réseau.