越南黑客通过虚假人工智能主题网站传播恶意软件

Mandiant 报告称，在过去的一年里，一个威胁组织一直利用人工智能工具的广泛流行来引诱计算机用户访问虚假内容创建网站，并用恶意软件感染他们的系统。

Mandiant 警告称，越南“UNC6032”黑客组织利用伪装成合法 AI 视频生成工具的虚假网站，向不同地区和行业的受害者推送信息窃取程序和后门。

社交媒体广告引流

这项广泛的攻击活动至少从 2024 年中期就开始了，通过 Facebook 和 LinkedIn 等社交媒体平台（可能还有其他平台）上的数千条广告，将毫无戒心的受害者引诱到虚假网站。

大多数广告都在 Facebook 上投放，通过攻击者创建的 Facebook 页面或被入侵的 Facebook 账户发布。在 Mandiant 向 Meta 通报其调查结果之前，Meta 于 2024 年开始删除部分恶意广告、域名和账户。

Mandiant 表示，已发现30 多个不同的虚假网站，这些网站冒充 Luma AI、Canva Dream Lab 和 Kling AI 等流行工具，并通过 120 多个误导性社交媒体广告网络进行推广，覆盖数百万用户，其中包括欧盟的 230 多万用户。

这些虚假网站声称具有文本转视频或图像转视频的生成功能，会向任何访问者显示相同的提示，然后在虚假视频创建过程完成后提供一个可供下载的 ZIP 存档。

Mandiant 表示，其观察到的感染链依赖 DLL 侧载、进程注入和内存投放器，并使用 AutoRun 注册表项来实现持久性。

攻击链

该 ZIP 压缩包包含一个双扩展名可执行文件，它会将基于 Rust 的 Starkveil 植入程序传送到受害者的机器上。植入程序随后会执行 Coilhatch 启动器，该启动器会部署 XWorm 和 Frostrift .NET 后门，以及 .NET 下载程序 Grimpull。

Morphisec的另一份报告指出，虚假网站提供的恶意 AI 输出会丢弃 Noodlophile Stealer，有时还会与 XWorm 后门捆绑在一起。

Mandiant 观察到 XWorm 和 Frostrift 都在收集系统信息，包括用户名、操作系统详细信息、硬件标识符和防病毒详细信息。XWorm 还可以记录按键操作，而 Frostrift 则会检查某些消息应用程序、浏览器和浏览器扩展程序。

Mandiant 补充道：“随着人工智能近年来发展势头迅猛，任何人都可能被看似无害的广告所诱惑。我们建议用户在使用人工智能工具时务必谨慎，并验证网站域名的合法性。”

技术报告：

https://cloud.google.com/blog/topics/threat-intelligence/cybercriminals-weaponize-fake-ai-websites

https://www.morphisec.com/blog/new-noodlophile-stealer-fake-ai-video-generation-platforms/

新闻链接：

https://www.securityweek.com/vietnamese-hackers-distribute-malware-via-fake-ai-themed-websites/