Các nhóm tội phạm mạng đã kết hợp AI một cách thành thạo vào kho vũ khí của chúng, tăng cường các kế hoạch nhằm lừa đảo người dùng trên các nền tảng truyền thông xã hội. Từ các cuộc tấn công vào các tài khoản video trên YouTube đến giả mạo âm thanh trên nền tảng của Meta, phạm vi hoạt động bất hợp pháp do AI cung cấp là rất rộng lớn, bao gồm nhiều lĩnh vực.
Điểm đáng chú ý của vấn đề nằm ở các chiến dịch quảng cáo độc hại được tài trợ mạo danh các phần mềm AI phổ biến như Midjourney, Sora AI, DALL-E 3, Evoto và ChatGPT 5, cùng nhiều phần mềm khác. Các chiến dịch này bắt chước một cách khéo léo các trang chính thức, lôi kéo người dùng tải xuống những gì họ tin là phiên bản hợp pháp dành cho máy tính để bàn của các công cụ AI này. Tuy nhiên, hậu quả mà người dùng sau khi tải xuống là vô cùng nguy hiểm, các liên kết dẫn đến các trang web đánh cắp thông tin nhạy cảm từ các hệ thống bị xâm nhập bao gồm nhiều thông tin nhạy cảm như: thông tin xác thực, thông tin thẻ tín dụng, ví tiền điện tử…
Tin tặc bắt đầu các chiến dịch của chúng bằng cách chiếm đoạt tài khoản Facebook, biến đổi chúng để trông giống như trang chính thức phân phối các công cụ tạo hình ảnh và video nổi tiếng dựa trên AI. Thông qua sự kết hợp của tin tức, ảnh do AI tạo và quảng cáo lôi cuốn, các trang này có được tính hợp pháp, dễ dàng đánh lừa người dùng nhấp vào các liên kết độc hại. Các hoạt động này đang phổ biến khắp châu Âu, nhắm vào các quốc gia như: Đức, Ba Lan, Ý, Pháp và Tây Ban Nha, cùng nhiều quốc gia khác.
Một ví dụ điển hình là trang Facebook mạo danh Midjourney, có 1,2 triệu người theo dõi và hoạt động được gần một năm cho đến khi bị gỡ xuống vào ngày 08/3/2024. Chiến dịch cụ thể này được thiết kế để nhắm mục tiêu đến nhiều người dùng từ 25 đến 55 tuổi, tiếp cận khoảng 500.000 cá nhân ở Châu Âu.
Điểm cốt lõi của các chiến dịch này là tin tặc sử dụng 4 công cụ đánh cắp thông tin nổi tiếng được phân phối thông qua Malware-as-a-Service (MaaS): Rilide Stealer, Vidar Stealer, IceRAT và Nova Stealer. Những công cụ độc hại này đại diện cho một loạt các mối đe dọa an ninh mạng, cho phép tội phạm mạng thực hiện các cuộc tấn công tinh vi và tiết kiệm chi phí. Ví dụ: Rilide Stealer V4 được cập nhật đã được thiết kế đặc biệt để nhắm mục tiêu vào các trình duyệt dựa trên Chrome, thu thập thông tin xác thực, đăng nhập và thậm chí phá vỡ xác thực hai yếu tố để đột nhập vào các quỹ tiền điện tử.
Sự gia tăng hoạt động đánh cắp thông tin cho thấy lỗ hổng nghiêm trọng trong hệ sinh thái kỹ thuật số vẫn còn đang hiện hữu. Tội phạm mạng đã trở nên thành thạo trong việc sử dụng các công cụ theo mục đích mình, từ thư rác đến các ứng dụng có vỏ bọc hợp pháp và quảng cáo tìm kiếm trên Google, để gài bẫy nạn nhân. Việc chuyển đổi sang tận dụng phần mềm hỗ trợ AI cho các chiến dịch quảng cáo độc hại thể hiện sự leo thang đáng kể về mức độ phức tạp của các mối đe dọa này.
Thanh Bình
(theo securityonline)
09:00 | 28/02/2024
13:00 | 31/10/2023
09:00 | 10/04/2023
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
11:00 | 25/01/2024
Chiến dịch phát tán phần mềm độc hại Phemedrone (chiến dịch Phemedrone) thực hiện khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL.
07:00 | 27/12/2023
Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.
13:00 | 14/12/2023
RisePro là một phần mềm độc hại đánh cắp thông tin dưới dạng dịch vụ, được xác định lần đầu tiên vào năm 2022. Gần đây, các nhà nghiên cứu của Anyrun nhận thấy hoạt động của phần mềm độc hại này tăng đột biến, đồng thời thay đổi cách giao tiếp với máy chủ điều khiển và kiểm soát (C2), cũng như trang bị những khả năng mới, đặc biệt là các tính năng điều khiển từ xa khiến nó có khả năng hoạt động như một RAT (Remote Access Trojan).
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024