别被AI冲昏头！黑客正用假冒AI工具疯狂传播勒索病毒与恶意软件！

人工智能（AI）的浪潮正以前所未有的姿态席卷全球，但在这股热潮背后，网络犯罪分子已悄然设下“AI陷阱”。他们正利用公众对AI工具的巨大热情与探索欲，将AI工具包装成诱饵，大肆传播勒索软件、信息窃取器及各类旨在破坏系统的恶意程序。

攻击者的“精准引流”：SEO投毒与恶意广告

这些网络罪犯如何将恶意软件精准送达用户？据思科Talos等安全机构的报告，主要手段包括：

1. SEO（搜索引擎优化）投毒
   
   针对用户常搜索的AI热门关键词（如“免费AI绘画”、“AI视频生成器破解版”等），攻击者精心构造恶意网站，并用黑帽SEO技术使其在搜索结果中名列前茅，诱骗用户点击。
2. 恶意广告（Malvertising）
   
   直接在搜索结果页、社交媒体或相关论坛购买广告位，将伪装的AI工具推广链接指向恶意软件下载页。

一旦用户被这些“糖衣炮弹”吸引并下载执行，潜藏的恶意程序便开始作恶。

典型恶意软件案例剖析：

1. CyberLock勒索软件：披着“人道主义”外衣的敲诈

此PowerShell勒索软件通过一个.NET加载器投递。攻击者搭建虚假AI工具网站novaleadsai[.]com（冒充合法应用novaleads.app），以“免费12个月高级订阅”为诱饵。一旦中招，文件将被加密并附加.cyberlock扩展名。其勒索信尤为虚伪，要求5万美元等值门罗币赎金，竟声称用于“人道主义事业”，实为卑劣的心理操纵。

2. Lucky_Gh0$t勒索软件：捆绑正版软件的“障眼法”

这款源自Yashma/Chaos勒索软件家族的新变种，常伪装成“ChatGPT 4.0高级版”安装包。其高明之处在于，档案包内除恶意程序外，还捆绑了多个合法的微软开源AI工具。此举既能增加“真实感”迷惑用户，又企图利用合法工具的数字签名等特性，逃避部分杀毒软件的检测。它会加密小于1.2GB的文件（附加随机四字符扩展名），而大文件则被垃圾数据替换并删除。受害者需通过Session即时通讯平台联系攻击者。

3. Numero恶意软件：不为钱财，只求“瘫痪”你的电脑

Numero常伪装成InVideo AI等AI视频工具的安装程序，通过包含批处理、VB脚本及核心可执行文件wintitle.exe的dropper传播。其破坏方式独特：一旦执行，会陷入无限循环，用数字串“1234567890”持续覆写Windows系统的图形用户界面（GUI），包括窗口标题、按钮、菜单乃至应用内容。尽管Numero不加密数据，但这种持续的界面破坏会使系统完全无法正常交互，陷入“瘫痪锁定”状态，用户往往束手无策。

AI热潮下的“寄生营销”：网络犯罪的逐利本性

本质上，利用AI工具作诱饵是网络犯罪典型的“蹭热度”行为。攻击者精准把握了公众对AI技术的高度关注及用户的尝鲜心理、效率追求。无论是伪装成高级AI助手，还是打着“免费”、“破解”的旗号，核心都是利用人性的弱点（好奇、贪便宜、图省事）来降低戒心，植入恶意软件。

安全防御建议：源头把控，保持警惕是关键！

1. 【首要原则】坚持官方渠道下载
   
   务必只从AI工具的官方网站或大型、正规的应用商店下载和安装软件。对任何第三方下载站或P2P网络提供的安装包说“不”。
2. 警惕“免费午餐”与“破解版”陷阱
   
   对搜索引擎中排名靠前但来源可疑的AI工具推广、社交媒体上不明来源的分享链接，以及声称提供“免费高级版”、“破解版”AI软件的网站，保持最高级别的警惕。
3. 优先选择主流、成熟的AI项目
   
   相对于背景不明的新兴AI工具，优先使用由大型科技公司或知名研究机构推出的、经过广泛验证的主流AI服务和产品。
4. 部署并活用安全防护软件
   
   确保设备上安装了可靠的防病毒软件和防火墙，并保持其病毒库和程序为最新状态。
5. 提升安全意识与辨别能力
   
   了解常见的网络钓鱼和恶意软件传播伎俩，对任何需要下载安装的可执行文件都三思而后行。

AI技术发展日新月异，但网络安全的基本原则不变。在拥抱AI的同时，更需守护好自己的数字防线。

原文始发于微信公众号（技术修道场）：别被“AI”冲昏头！黑客正用假冒AI工具疯狂传播勒索病毒与恶意软件！