Les pirates utilisent des publicités Facebook et des pages détournées pour promouvoir de faux services d’intelligence artificielle, tels que MidJourney, SORA et ChatGPT-5 d’OpenAI, et DALL-E, pour infecter les utilisateurs sans méfiance avec des logiciels malveillants voleurs de mots de passe.
Les campagnes de publicité malveillante sont créées par des profils Facebook détournés qui se font passer pour des services d’IA populaires, prétendant offrir un aperçu des nouvelles fonctionnalités.
Les utilisateurs trompés par les publicités deviennent membres de communautés Facebook frauduleuses, où les acteurs de la menace publient des actualités, des images générées par l’IA et d’autres informations connexes pour donner aux pages un aspect légitime.
Cependant, les publications de la communauté font souvent la promotion d’un accès limité dans le temps aux services d’IA à venir et très attendus, incitant les utilisateurs à télécharger des exécutables malveillants qui infectent les ordinateurs Windows avec des logiciels malveillants voleurs d’informations, tels que Rilide, Vidar, IceRAT et Nova.
Les logiciels malveillants de vol d’informations se concentrent sur le vol de données à partir du navigateur d’une victime, y compris les informations d’identification stockées, les cookies, les informations de portefeuille de crypto-monnaie, les données de saisie semi-automatique et les informations de carte de crédit.
Ces données sont ensuite vendues sur les marchés du dark Web ou utilisées par les attaquants pour violer les comptes en ligne de la cible afin de promouvoir d’autres escroqueries ou de commettre des fraudes.
Campagne de mi-journée
La portée de ces campagnes est stupéfiante dans certains cas, car l’intérêt des gens pour l’IA est actuellement très élevé. Les développements dans le domaine sont si rapides qu’il n’est pas facile pour les gens de suivre et de discerner les annonces légitimes des contrefaçons évidentes.
Dans l’un des cas examinés par les chercheurs de Bitdefender, une page Facebook malveillante se faisant passer pour Midjourney a rassemblé 1,2 million d’abonnés et est restée active pendant près d’un an avant d’être finalement supprimée.
La page n’a pas été créée à partir de zéro; au lieu de cela, les attaquants ont détourné un profil existant en juin 2023 et l’ont converti en une fausse page de voyage. Facebook a fermé la page le 8 mars 2024.
De nombreux messages ont incité les gens à télécharger les infostealers en faisant la promotion d’une version de bureau inexistante de l’outil. Certains articles ont mis en évidence la sortie de la V6, qui n’est pas encore officiellement sortie (la dernière version est la V5).
Dans d’autres cas, les publicités malveillantes ont favorisé des opportunités de créer des œuvres d’art NFT et de monétiser leurs créations.
Comme vous pouvez afficher les paramètres de ciblage des publicités Facebook dans la bibliothèque de méta-publicités, les chercheurs ont constaté que les publicités ciblaient un groupe démographique d’hommes âgés de 25 à 55 ans en Europe, principalement l’Allemagne, la Pologne, l’Italie, la France, la Belgique, l’Espagne, les Pays-Bas, la Roumanie et la Suède.
Au lieu d’utiliser des liens Dropbox et Google Drive pour héberger les charges utiles, les opérateurs de cette campagne ont mis en place plusieurs sites qui ont cloné la page de destination officielle en milieu de voyage, incitant les utilisateurs à télécharger ce qu’ils pensaient être la dernière version de l’outil de génération d’art via un lien GoFile.
Au lieu de cela, ils ont obtenu Rilide v4, qui se fait passer pour une extension Google Translate pour leur navigateur Web, cachant efficacement le malware en siphonnant les cookies Facebook et d’autres données en arrière-plan.
Bien que cette page ait depuis été supprimée, les auteurs de la menace ont lancé une nouvelle page toujours active avec plus de 600 000 membres qui pousse un faux site de milieu de journée distribuant des logiciels malveillants.
Bien que la page imposteur comptant plus de 1,2 million d’abonnés ait récemment été fermée, nos recherches ont montré que les cybercriminels ont agi rapidement pour créer une nouvelle page se faisant passer pour un voyage entre le 8 et le 9 mars 2024. La page a également été créée après avoir repris le compte Facebook d’un autre utilisateur, qui a également commenté dans la section de révision de la page avertissant les autres utilisateurs que le compte avait été piraté. Depuis le début de notre enquête, nous avons remarqué quatre pages Facebook supplémentaires tentant de se faire passer pour Midjourney, dont certaines ont également été supprimées de la plateforme.
La dernière page malveillante usurpant l’identité de Midjourney semble avoir été reprise par les attaquants le 18 mars lorsque les cybercriminels ont changé le nom d’origine de la page Facebook d’origine. Au 26 mars, le profil frauduleux comptait 637 000 abonnés (comme indiqué ci-dessous).
❖ Défendeur de bits.
Le succès de cette campagne met en évidence la sophistication des stratégies de publicité malveillante basées sur les médias sociaux et l’importance de la vigilance lors de l’engagement avec des publicités en ligne.
La vaste échelle des réseaux de médias sociaux tels que Facebook, associée à une modération insuffisante, permet à ces campagnes de persister pendant des périodes prolongées, facilitant la propagation incontrôlée de logiciels malveillants qui entraînent des dommages importants dus aux infections de logiciels malveillants.