Tin tặc đã sử dụng các trang Facebook bị tấn công để quảng cáo các dịch vụ AI giả mạo của OpenAI và DALL-E Midjourney, SORA và ChatGPT-5, đồng thời phát tán phần mềm độc hại đánh cắp mật khẩu.
Chiến dịch quảng cáo độc hại được tạo ra từ các hồ sơ Facebook bị tấn công và mạo danh dịch vụ trí tuệ nhân tạo phổ biến, giả vờ cung cấp bản xem trước các tính năng mới. Người dùng bị quảng cáo đánh lừa sẽ trở thành thành viên của cộng đồng Facebook lừa đảo, nơi những kẻ xấu đăng tin tức, hình ảnh do AI tạo ra và các thông tin liên quan khác để làm cho trang này có vẻ hợp pháp.
Tuy nhiên, những bài đăng này thường quảng bá quyền truy cập trong thời gian giới hạn vào các dịch vụ AI sắp ra mắt, lừa người dùng tải xuống các tệp độc hại lây nhiễm vào máy tính Windows bằng phần mềm đánh cắp thông tin như Rilide, Vidar, IceRAT và Nova.
Chúng tập trung vào việc đánh cắp dữ liệu từ trình duyệt của nạn nhân, bao gồm thông tin đăng nhập được lưu trữ, cookie, thông tin ví tiền điện tử, dữ liệu tự động hoàn thành và thông tin thẻ tín dụng. Dữ liệu này sau đó được bán trên thị trường darknet hoặc được những kẻ tấn công sử dụng để xâm phạm tài khoản trực tuyến của mục tiêu nhằm thực hiện các hành vi lừa đảo hoặc gian lận tiếp theo.
Hành động nửa chừng
Do mức độ quan tâm cao đến trí tuệ nhân tạo nên phạm vi tiếp cận của các hoạt động này là đáng kể. Trong một trường hợp được các nhà nghiên cứu của Bitdefender quan sát, một trang Facebook mạo danh Midjourney đã thu hút được 1,2 triệu người theo dõi và vẫn hoạt động trong gần một năm trước khi bị xóa.
Trang này không được tạo từ đầu mà là những kẻ tấn công đã chiếm đoạt một hồ sơ có sẵn vào tháng 6 năm 2023 và chuyển nó thành một trang Midjourney giả mạo. Facebook đã đóng cửa trang này vào ngày 8 tháng 3.
Nhiều bài đăng lừa mọi người tải xuống chương trình đánh cắp thông tin bằng cách quảng cáo phiên bản Midjourney trên máy tính để bàn (không có thật). Có một số bài viết nêu bật việc phát hành động cơ V6, phiên bản kế nhiệm của động cơ V5 hiện tại.
Khi các nhà nghiên cứu xem xét các thông số nhắm mục tiêu của quảng cáo Facebook trong thư viện quảng cáo Meta, họ nhận thấy rằng họ đang nhắm mục tiêu đến nam giới trong độ tuổi từ 25 đến 55 ở Châu Âu, chủ yếu ở Đức, Ba Lan, Ý, Pháp, Bỉ, Tây Ban Nha, Hà Lan, Romania và Thụy Điển.
Thay vì sử dụng liên kết Dropbox và Google Drive để lưu trữ tệp, những người đứng sau chiến dịch đã thiết lập nhiều trang web phản ánh trang đích chính thức của Midjourney, lừa người dùng tải xuống thứ mà họ cho là phiên bản mới nhất của công cụ thông qua liên kết GoFile. Tuy nhiên, khi tải lại, thứ họ nhận được là Rilide v4, được ngụy trang dưới dạng tiện ích mở rộng Google Translate trên trình duyệt web của họ.
Dù Facebook giả mạo Midjourney đã bị xóa nhưng kẻ xấu lại mở ra một trang mới với hơn 600.000 thành viên. Chủ nhân của trang Facebook bị hack đã đăng bình luận cảnh báo mọi người.
Thành công của chiến dịch này nêu bật tính phức tạp của các chiến dịch quảng cáo độc hại trên mạng xã hội và tầm quan trọng của việc duy trì cảnh giác đối với quảng cáo trực tuyến. Quy mô rộng lớn của các mạng xã hội như Facebook, cùng với cơ chế kiểm duyệt yếu kém, cho phép các hoạt động này tồn tại theo thời gian, tạo điều kiện cho phần mềm độc hại lây lan ngoài tầm kiểm soát và gây ra thiệt hại rất lớn.
(theo Bleeping Computer)
Biên tập lại từ VNN
