驚くべき発見によると、オンライン詐欺師は生成的人工知能に関する注目を悪用し、1年間続いている悪意のあるキャンペーンに転用しています。脅威インテリジェンス企業Google Mandiantの報告によれば、これらの詐欺師はAIユーティリティを装って、情報スティーラーやバックドアを配布しています。
偽装戦略
ベトナムに関連するとされるUNC6032という名の脅威アクターグループは、FacebookやLinkedInのようなプラットフォームで大量の誤解を招く広告を利用して、人々を騙しています。Luma AI、Canva Dream Lab、Kling AIといった正当な団体を装い、ユーザーをほぼ同じデザインの偽サイトに誘導しています。ここで、AI生成コンテンツが約束されている代わりに、ユーザーはマルウェアが入ったファイルを受け取ることになります。
広がる影響
Mandiantの徹底的な調査によると、これらの広告はEU内で約230万人に届いています。この驚くべきデータは、セキュリティ企業Morphisecが報告した類似の観察結果を反映しています。
回避技術
UNC6032の特徴は、その検出回避の巧みさにあります。登録したばかりのドメインが広告で迅速に利用され、場合によっては公開から数時間以内に使用されています。これらのドメインは妥協されたFacebookアカウントによってサポートされ、誤解を招く広告が継続して公開されています。報告によると、あるLinkedIn広告は、『klingxai.com』という不正なサイトを通じて最大で25万人に到達したとされています。
AIに偽装されたマルウェア
偽サイトは正規のAIサービスのインターフェースとロゴを忠実に再現しています。ひとつの詐欺サイトは『Luma Dream AI Machine』として提示され、通常のビデオ作成オプションを提供していました。ユーザーがインタラクションをすると、そのサイトは処理シーケンスを装い、最終的に有害なzipアーカイブを含む『ダウンロード』ボタンを表示します。このアーカイブ内に含まれるマルウェア、Starkveilは、Grimpull、XWorm、Frostriftといったモジュラーファミリーを備えており、データの窃取やシステムの侵害が可能です。
マルウェア配信の革新
Rustで作成されたStarkveilは、目に見えない点字Unicode文字を使用した二重拡張子のトリックのような巧妙な技術を駆使し、無害なファイルタイプの下に悪意のある実行可能ファイルを隠します。実行後、Starkveilは埋め込まれたアーカイブを信頼されたWindowsプロセスに解放し、難読化を利用して検出を回避します。
継続する脅威
悪意のグループのインフラに定期的な更新を行い、進化し続けるペイロードをホストすることを可能にしています。彼らの強靭な手法には、ペイロードを動的に難読化することが含まれ、静的な検出がますます困難になっています。マルウェアはAutoRunレジストリキーを埋め込んで持続性を獲得し、正当な実行可能ルートを通じて有害なDLLをサイドロードします。
法的措置とサイバーセキュリティの対応
この報告は、Metaによる有害な広告の削除や、それに関連するドメインの撤廃を強調しています。さらに、LinkedInは広告の到達範囲とターゲティングパターンに関する透明性ツールを導入しており、調査官が曝露の幅を評価するのを支援します。
GovInfoSecurityによれば、この悪意のあるキャンペーンはサイバー犯罪との終わりなき戦いを想起させ、世界中のサイバーセキュリティ主体に対して警戒と迅速な適応を促しています。