Une campagne de publicité malveillante sur Facebook cible les utilisateurs à la recherche d’outils de retouche d’image IA et vole leurs informations d’identification en les incitant à installer de fausses applications imitant des logiciels légitimes.
Les attaquants exploitent la popularité des outils de génération d’images basés sur l’IA en créant des sites Web malveillants qui ressemblent étroitement à des services légitimes et incitent les victimes potentielles à s’infecter avec des logiciels malveillants voleurs d’informations, comme l’ont découvert les chercheurs de Trend Micro qui ont analysé la campagne.
Les attaques commencent par des messages de phishing envoyés aux propriétaires ou administrateurs de pages Facebook, qui les enverront vers de fausses pages de protection de compte conçues pour les inciter à fournir leurs informations de connexion.
Après avoir volé leurs identifiants, les acteurs de la menace détournent leurs comptes, prennent le contrôle de leurs pages, publient des publications malveillantes sur les réseaux sociaux et en font la promotion via des publicités payantes.
« Nous avons découvert une campagne de publicité malveillante impliquant un acteur menaçant qui vole des pages de médias sociaux (généralement liées à la photographie), changeant leurs noms pour les faire paraître connectées aux éditeurs de photos IA populaires », a déclaré Jaromir Horejsi, chercheur en menaces chez Trend Micro.
« L’auteur de la menace crée ensuite des publications malveillantes avec des liens vers de faux sites Web conçus pour ressembler au site Web réel de l’éditeur de photos légitime. Pour augmenter le trafic, l’auteur augmente ensuite les publications malveillantes via des publicités payantes. »
Les utilisateurs de Facebook qui cliquent sur l’URL promue dans la publicité malveillante sont envoyés vers une fausse page Web se faisant passer pour un logiciel légitime de retouche photo et de génération d’IA, où ils sont invités à télécharger et à installer un progiciel.
Cependant, au lieu d’un logiciel d’édition d’images IA, les victimes installent l’outil de bureau à distance ITarien légitime configuré pour lancer un téléchargeur qui déploie automatiquement le logiciel malveillant Lumma Stealer.
Le logiciel malveillant s’infiltre ensuite discrètement dans leur système, permettant aux attaquants de collecter et d’exfiltrer des informations sensibles telles que des informations d’identification, des fichiers de portefeuille de crypto-monnaie, des données de navigateur et des bases de données de gestionnaire de mots de passe.
Ces données sont ensuite vendues à d’autres cybercriminels ou utilisées par les attaquants pour compromettre les comptes en ligne des victimes, voler leur argent et promouvoir d’autres escroqueries.
« Les utilisateurs doivent activer l’authentification multifacteur (MFA) sur tous les comptes de médias sociaux pour ajouter une couche supplémentaire de protection contre les accès non autorisés », a conseillé Horejsi.
« Les organisations doivent éduquer leurs employés sur les dangers des attaques de phishing et sur la façon de reconnaître les messages et les liens suspects. Les utilisateurs doivent toujours vérifier la légitimité des liens, en particulier ceux qui demandent des informations personnelles ou des identifiants de connexion. »
En avril, une campagne similaire de publicité malveillante sur Facebook a fait la promotion d’une page malveillante se faisant passer pour Mid journey pour cibler près de 1,2 million d’utilisateurs avec l’extension de navigateur Chrome Rilide Stealer.