ハッカーたちはFacebookの広告やハイジャックされたページを使って、MidJourney、OpenAIのSORAやChatGPT-5、DALL-Eといった偽の人工知能サービスを宣伝し、無防備なユーザーをパスワードを盗むマルウェアに感染させている。
不正広告キャンペーンは、人気のAIサービスになりすまし、新機能のスニークプレビューを提供するふりをして、乗っ取ったFacebookのプロフィールによって作成されます。
広告に騙されたユーザーは、詐欺的なFacebookコミュニティのメンバーとなり、そこで脅威行為者がニュースやAIが生成した画像、その他の関連情報を投稿し、合法的なページに見せかける。
しかし、コミュニティへの投稿は、多くの場合、近日公開予定の待望のAIサービスへの期間限定アクセスを宣伝し、ユーザーを騙して、Rilide、Vidar、IceRAT、Novaのような情報窃取マルウェアにWindowsコンピュータを感染させる悪意のある実行ファイルをダウンロードさせる。
情報窃取マルウェアは、保存されている認証情報、クッキー、暗号通貨ウォレット情報、オートコンプリート・データ、クレジットカード情報など、被害者のブラウザからデータを盗み出すことに重点を置いている。
このデータは、ダークウェブマーケットで販売されたり、攻撃者がターゲットのオンラインアカウントに侵入してさらなる詐欺や詐欺を行うために使用されます。
ミッドジャーニー・キャンペーン
現在、AIに対する人々の関心は非常に高いため、こうしたキャンペーンのリーチは場合によっては驚異的だ。この分野の発展は非常に急速で、人々がついていき、正当な発表と明らかな偽物を見分けるのは容易ではない。
Bitdefenderの研究者が見たケースの1つでは、Midjourneyになりすました悪質なFacebookページが120万人のフォロワーを集め、最終的に削除されるまで1年近く活動し続けた。
このページはゼロから作成されたのではなく、攻撃者は2023年6月に既存のプロフィールを乗っ取り、Midjourneyの偽ページに変換した。フェイスブックは2024年3月8日にこのページを閉鎖した。
多くの投稿は、存在しないツールのデスクトップ版を宣伝することで、人々を騙して情報窃取者をダウンロードさせた。まだ正式にはリリースされていないV6のリリースを強調する投稿もあった(最新バージョンはV5)。
その他のケースでは、悪質な広告がNFTアートを作成し、その作品を収益化する機会を宣伝していました。
Meta Ad LibraryでFacebook広告のターゲティング・パラメータを見ることができるように、研究者は、広告が主にドイツ、ポーランド、イタリア、フランス、ベルギー、スペイン、オランダ、ルーマニア、スウェーデンのヨーロッパの25歳から55歳の男性をターゲットにしていることを発見した。
このキャンペーンの運営者は、ペイロードのホスティングにDropboxやGoogle Driveのリンクを使用する代わりに、Midjourneyの公式ランディングページを模倣した複数のサイトを立ち上げ、ユーザーを騙してGoFileのリンクを経由してアート生成ツールの最新バージョンと思われるものをダウンロードさせていました。
その代わり、Rilide v4がダウンロードされ、ウェブブラウザのGoogle翻訳拡張機能として偽装され、バックグラウンドでFacebookのクッキーやその他のデータを吸い上げながら、マルウェアを効果的に隠していた。
このページはその後削除されましたが、脅威の実行者は、マルウェアを配布する偽のMidjourneyサイトをプッシュする、60万人以上のメンバーでまだアクティブな新しいページを立ち上げました。
.fan_quote { width: 85%; margin: auto; font-size: 16px; font-weight: 300; font-family:line-height: 1.2; color:#padding: 35px 10px 35px35px 10px 35px 40px; display: block; position: relative; box-sizing: border-box; box-shadow: inset 0 0 0 7px rgba(255, 255, 255, 0.07), 4px 4px 4px rgba(0, 0, 0, 0.15); background-color:#} .fan_quote:before { width: 30px; height: 20px; position: absolute; left: 10px; top:10px; content:”; background: url(‘https://www.bleepstatic.com/css/fanquote/dark-quote.png’) no-repeat; } .fan_quote:after { width: 30px; height: 20px; position: absolute; right: 20px; bottom:15px; content:”; background: url(‘https://www.bleepstatic.com/css/fanquote/quote.png’) -40px 0px no-repeat; } .fan_quote > a { font-family: sans-serif; font-size: 14px; color:#text-decoration: none; float: right; } .fan_quote > a:hover { color:} .fan_quote > a:hover { color: #ace; }
120万人以上のフォロワーを誇った偽者ページは最近閉鎖されたが、我々の調査によると、サイバー犯罪者は素早く行動し、2024年3月8日から9日の間にミッドジャーニーになりすました新しいページを立ち上げた。また、このページは別のユーザーのフェイスブックアカウントを乗っ取った後に開設され、そのユーザーはページのレビュー欄で、アカウントがハッキングされたことを他のユーザーに警告するコメントもしていた。調査を開始して以来、MidjourneyになりすまそうとしているFacebookページがさらに4つあることに気づき、そのうちのいくつかはプラットフォームからも削除された。
Midjourneyになりすました最新の悪質なページは、サイバー犯罪者が元のFacebookページの名前を変更した3月18日に攻撃者に乗っ取られたようです。3月26日現在、この詐欺プロフィールのフォロワー数は637,000人(以下の通り)。
❖ Bitdefender。
このキャンペーンの成功は、ソーシャルメディア・ベースの不正広告戦略の巧妙さと、オンライン広告を利用する際の警戒の重要性を浮き彫りにしています。
Facebook などのソーシャル・メディア・ネットワークは、その規模が非常に大きいことに加え、適切な管理が十分に行われていないため、このようなキャンペーンが長期間にわたって行われ、マルウェア感染による甚大な被害をもたらすマルウェアが野放図に拡散してしまうのです。
Comments