Поскольку Интернет заполняется видеороликами, создаваемыми с помощью генераторов видео на основе искусственного интеллекта, хакерские группы заполняют онлайн-пространство вредоносными программами и поддельными веб-сайтами, надеясь нажиться на этой тенденции.
Как отслеживают исследователи Mandiant и Google Cloud, кампания проводится группой, известной как «UNC6032». С середины 2024 года они распространили тысячи рекламных объявлений, поддельных веб-сайтов и сообщений в социальных сетях, обещающих жертвам доступ к популярным инструментам для создания видеороликов на основе ИИ, таким как Luma AI, Canva Dream Lab и Kling AI.
Поддельная реклама генераторов видео на базе искусственного интеллекта, которая приводит к фишинговым приманкам и установке вредоносного ПО на устройствах жертв. [Источник: Mandiant и Google Cloud]
Эти обещания приводят к появлению фишинговых страниц и вредоносного ПО, при этом группировка внедряет программы для кражи информации и бэкдоры на устройства жертв. У скомпрометированных лиц были украдены учётные данные, файлы cookie, данные кредитных карт, а в некоторых случаях и информация из Facebook. Эта схема, по всей видимости, затрагивает широкий спектр отраслей и географических регионов.
«Компания Mandiant Threat Defense выявила тысячи рекламных объявлений, связанных с UNC6032, которые в совокупности охватили миллионы пользователей в различных социальных сетях, таких как Facebook и LinkedIn», — пишут исследователи Диана Ион, Роммель Йовен и Яш Гупта. «Мы подозреваем, что аналогичные кампании активны и на других платформах, поскольку киберпреступники постоянно совершенствуют тактику, чтобы избежать обнаружения и атаковать сразу несколько платформ, увеличивая свои шансы на успех».
Появление в последние месяцы высокореалистичных инструментов для создания видеороликов на основе ИИ вызвало любопытство, беспокойство и значительный интерес у общественности. Согласно Google Trends, количество поисковых запросов на инструменты для создания видеороликов на основе ИИ резко возросло за последний год, особенно с апреля.
График из Google Trends, показывающий рост числа поисковых запросов «генератор видео на основе ИИ» в интернете за последний год. [Источник: Google Trends]
Современные технологии позволяют создавать поразительно реалистичные изображения людей и сцен практически без каких-либо сбоев или визуальных подсказок, которые облегчали обнаружение предыдущих видеороликов, созданных с помощью искусственного интеллекта.
Компания Morphisec, специализирующаяся на кибербезопасности и опубликовавшая аналогичное исследование ранее в этом месяце, отметила, как распространение видеогенераторов на основе ИИ за последний год снизило барьер для новых участников, предоставив даже неопытным пользователям возможность создавать реалистичные фейковые медиа. Стремление пользователей, которые могут быть не слишком хорошо разбираться в ИИ и не быть знакомыми с ним, воспользоваться этим новым трендом открывает новые возможности для киберпреступников и хакеров.
«Уникальность этой кампании заключается в использовании ИИ в качестве инструмента социальной инженерии, превращающего зарождающуюся легитимную тенденцию в вектор заражения», — пишет исследователь Morphisec Шмуэль Узан. «В отличие от старых вредоносных кампаний, замаскированных под пиратское ПО или игровые читы, эта операция нацелена на новую, более доверчивую аудиторию: разработчиков и малый бизнес, изучающих возможности ИИ для повышения производительности».
Исследователи Mandiant выразили благодарность компании Meta, которая, по всей видимости, знала о кампании UNC6032 и расследовала её ещё до того, как получила уведомление от Mandiant, и внесла свой вклад в исследование. Используя библиотеку объявлений Meta, которая в связи с нормативными требованиями улучшила таргетинг рекламы для европейских пользователей, команда Mandiant обнаружила более 30 различных веб-сайтов, цитируемых в тысячах фейковых объявлений, в основном на Facebook через страницы, созданные злоумышленниками, или взломанные аккаунты.
Практически все сайты рекламировали бесплатные или высококачественные возможности генерации видео с помощью искусственного интеллекта.
«Как только пользователь дает команду на создание видео, независимо от введенных данных, веб-сайт будет обслуживать одну из статических полезных нагрузок, размещенных в той же (или связанной) инфраструктуре», — пишут исследователи.
Google Cloud заявил, что UNC6032 имеет «связь» с Вьетнамом. Mandiant и Google Cloud используют термин «UNC» для обозначения уникальных кластеров хакерской активности, по которым имеется лишь ограниченная доступная информация и телеметрия.
Это означает, что UNC6032 может быть ответвлением ранее отслеживаемой группы угроз, использующей иную тактику, методы и процедуры, или совершенно новой хакерской группой, и хотя эта деятельность имеет «связь» с Вьетнамом, это не обязательно подразумевает связь с государством.
Как отслеживают исследователи Mandiant и Google Cloud, кампания проводится группой, известной как «UNC6032». С середины 2024 года они распространили тысячи рекламных объявлений, поддельных веб-сайтов и сообщений в социальных сетях, обещающих жертвам доступ к популярным инструментам для создания видеороликов на основе ИИ, таким как Luma AI, Canva Dream Lab и Kling AI.
Эти обещания приводят к появлению фишинговых страниц и вредоносного ПО, при этом группировка внедряет программы для кражи информации и бэкдоры на устройства жертв. У скомпрометированных лиц были украдены учётные данные, файлы cookie, данные кредитных карт, а в некоторых случаях и информация из Facebook. Эта схема, по всей видимости, затрагивает широкий спектр отраслей и географических регионов.
«Компания Mandiant Threat Defense выявила тысячи рекламных объявлений, связанных с UNC6032, которые в совокупности охватили миллионы пользователей в различных социальных сетях, таких как Facebook и LinkedIn», — пишут исследователи Диана Ион, Роммель Йовен и Яш Гупта. «Мы подозреваем, что аналогичные кампании активны и на других платформах, поскольку киберпреступники постоянно совершенствуют тактику, чтобы избежать обнаружения и атаковать сразу несколько платформ, увеличивая свои шансы на успех».
Появление в последние месяцы высокореалистичных инструментов для создания видеороликов на основе ИИ вызвало любопытство, беспокойство и значительный интерес у общественности. Согласно Google Trends, количество поисковых запросов на инструменты для создания видеороликов на основе ИИ резко возросло за последний год, особенно с апреля.
Современные технологии позволяют создавать поразительно реалистичные изображения людей и сцен практически без каких-либо сбоев или визуальных подсказок, которые облегчали обнаружение предыдущих видеороликов, созданных с помощью искусственного интеллекта.
Компания Morphisec, специализирующаяся на кибербезопасности и опубликовавшая аналогичное исследование ранее в этом месяце, отметила, как распространение видеогенераторов на основе ИИ за последний год снизило барьер для новых участников, предоставив даже неопытным пользователям возможность создавать реалистичные фейковые медиа. Стремление пользователей, которые могут быть не слишком хорошо разбираться в ИИ и не быть знакомыми с ним, воспользоваться этим новым трендом открывает новые возможности для киберпреступников и хакеров.
«Уникальность этой кампании заключается в использовании ИИ в качестве инструмента социальной инженерии, превращающего зарождающуюся легитимную тенденцию в вектор заражения», — пишет исследователь Morphisec Шмуэль Узан. «В отличие от старых вредоносных кампаний, замаскированных под пиратское ПО или игровые читы, эта операция нацелена на новую, более доверчивую аудиторию: разработчиков и малый бизнес, изучающих возможности ИИ для повышения производительности».
Исследователи Mandiant выразили благодарность компании Meta, которая, по всей видимости, знала о кампании UNC6032 и расследовала её ещё до того, как получила уведомление от Mandiant, и внесла свой вклад в исследование. Используя библиотеку объявлений Meta, которая в связи с нормативными требованиями улучшила таргетинг рекламы для европейских пользователей, команда Mandiant обнаружила более 30 различных веб-сайтов, цитируемых в тысячах фейковых объявлений, в основном на Facebook через страницы, созданные злоумышленниками, или взломанные аккаунты.
Практически все сайты рекламировали бесплатные или высококачественные возможности генерации видео с помощью искусственного интеллекта.
«Как только пользователь дает команду на создание видео, независимо от введенных данных, веб-сайт будет обслуживать одну из статических полезных нагрузок, размещенных в той же (или связанной) инфраструктуре», — пишут исследователи.
Google Cloud заявил, что UNC6032 имеет «связь» с Вьетнамом. Mandiant и Google Cloud используют термин «UNC» для обозначения уникальных кластеров хакерской активности, по которым имеется лишь ограниченная доступная информация и телеметрия.
Это означает, что UNC6032 может быть ответвлением ранее отслеживаемой группы угроз, использующей иную тактику, методы и процедуры, или совершенно новой хакерской группой, и хотя эта деятельность имеет «связь» с Вьетнамом, это не обязательно подразумевает связь с государством.
