المجرمون الإلكترونيون يستهدفون مستخدمي الذكاء الاصطناعي عبر مُثبِّتات وهمية محمّلة ببرمجيات ضارة

كشف تقرير حديث عن استغلال قراصنة الإنترنت مثبِّتات وهمية لأدوات الذكاء الاصطناعي الشائعة، مثل OpenAI ChatGPT و InVideo AI ، لنشر تهديدات سيبرانية تشمل برمجيات الفدية CyberLock وLucky_Gh0$t ، بالإضافة إلى برمجية ضارة جديدة تُدعى Numero.

تفاصيل الهجوم وآلية عمل البرمجيات الخبيثة

– CyberLock: برمجية فدية مبنية على PowerShell تستهدف تشفير الملفات على أجهزة الضحايا.
– Lucky_Gh0$t: إصدار حديث من Yashma Ransomware ، وهو الجيل السادس من سلسلة Chaos بميزات معدَّلة.
– Numero: برمجية ضارة تتلاعب بواجهة المستخدم الرسومية (GUI) لنظام Windows، مما يجعله غير قابل للاستخدام.

وتشير التقارير إلى أن البرمجيات الوهمية تستهدف العاملين في مجالات التسويق والمبيعات B2B عبر مواقع مزيّفة مثل novaleadsai[.]com التي تُستخدم لخداع المستخدمين بوعود اشتراك مجاني لمدة عام.

أما بالنسبة لآليات الاختراق والابتزاز الإلكتروني، فعند تنزيل المثبِّت الوهمي، يتم تحميل برمجية CyberLock داخل أرشيف ZIP يحتوي على ملف .NET ، والذي يعمل كمُحمّل لتنفيذ البرمجية.

– تقوم البرمجية بزيادة صلاحياتها الإدارية وتنفيذ تشفير الملفات في C:\, D:\, E:.
– يترك المهاجمون مذكرة فدية تطالب بسداد مبلغ 50,000 دولار بعملة Monero خلال ثلاثة أيام.
– يدَّعي المهاجمون في المذكرة أن الأموال ستستخدم لمساعدة النساء والأطفال في فلسطين، أوكرانيا، أفريقيا، آسيا.

تقنيات التمويه والتدمير

تمت ملاحظة توزيع Lucky_Gh0$t عبر مثبِّتات وهمية لـ ChatGPT Premium ، حيث يتضمّن المثبِّت ملفًا باسم “dwn.exe” ، والذي ينتحل صفة ملف Microsoft شرعي “dwm.exe”.

عند تشغيل المثبِّت، يتم حذف النسخ الاحتياطية ، وترك مذكرة فدية تتطلب التواصل مع المهاجمين عبر تطبيق Session.

كما يتم استغلال الذكاء الاصطناعي لنشر برمجية Numero عبر مُثبِّت وهمي لمنصة InVideo AI ، مما يؤدي إلى تشغيل ملف دفعي (Batch)، سكريبت VB، وتنفيذ البرمجية في حلقة لا نهائية.

وقد أكد خبراء الأمن السيبراني أن المهاجمين يستغلون الإعلانات المضللة على Facebook وLinkedIn لنشر مواقع مزيّفة مثل Luma AI وCanva Dream Lab ، والتي تحتوي على برمجية STARKVEIL لتوزيع برمجيات خبيثة متعددة.

للحماية من هذه التهديدات، يُنصح بـ:

– تجنّب تنزيل التطبيقات من مصادر غير رسمية.
– التحقق من عناوين المواقع الإلكترونية قبل إدخال البيانات الشخصية.
– استخدام حلول أمنية متقدمة للكشف عن البرمجيات الخبيثة.