Il team di #BleepingComputer ha identificato un #malware specializzato nel furto di informazioni, il quale mira a sottrarre dati dai #browser delle vittime, incluse credenziali salvate, # cookie, informazioni su portafogli di #criptovalute, dati di autocompletamento e informazioni sulle carte di credito. Questi dati vengono poi venduti nei mercati del #darkweb o utilizzati per violare gli account online delle vittime, favorendo ulteriori truffe o frodi.

Il team ha rilevato che la portata di queste campagne è impressionante, specie in un periodo di forte interesse verso l'intelligenza artificiale, un campo in rapido sviluppo che rende difficile per il pubblico distinguere gli annunci legittimi da quelli falsi. 

In uno specifico caso monitorato, una pagina #Facebook che impersonava #Midjourney ha raccolto 1,2 milioni di follower e è rimasta attiva per quasi un anno prima della sua rimozione. Originariamente, i malintenzionati hanno dirottato un profilo esistente nel giugno 2023, trasformandolo in una falsa pagina Midjourney, la quale è stata successivamente chiusa da Facebook l'8 marzo 2024. 

Numerosi post hanno indotto gli utenti a scaricare gli #infostealer, promuovendo una versione desktop dello strumento che non esiste. Alcuni post annunciavano il rilascio della V6, che non è ancora disponibile ufficialmente, con l'ultima versione rilasciata essendo la V5. 

In altri casi, sono state promosse opportunità di creare arte NFT e monetizzare le proprie creazioni. Esaminando i parametri di targeting degli annunci di Facebook nella Meta Ad Library, il team ha scoperto che gli annunci miravano a un demografico di uomini tra i 25 e i 55 anni in diversi paesi europei, tra cui Germania, Polonia, Italia, Francia, Belgio, Spagna, Paesi Bassi, Romania e Svezia. 

Invece di utilizzare link di #Dropbox e #GoogleDrive per ospitare i #payload, i malintenzionati hanno configurato più siti che clonavano la pagina ufficiale di atterraggio di #Midjourney, ingannando gli utenti a scaricare quella che credevano fosse l'ultima versione dello strumento di generazione artistica tramite un link #GoFile. In realtà, scaricavano #Rilide v4, un'estensione che si spaccia per Google Translate per il browser web, nascondendo efficacemente il #malware che sottraeva cookie di Facebook e altri dati in background. 

Nonostante la rimozione di questa pagina, i criminali hanno lanciato una nuova pagina ancora attiva con oltre 600.000 membri, promuovendo un falso sito #Midjourney che distribuisce malware. 

Dopo la chiusura della pagina impostora con oltre 1,2 milioni di follower, il team di BleepingComputer ha osservato che i criminali informatici hanno rapidamente impostato una nuova pagina che impersonava Midjourney tra l'8 e il 9 marzo 2024. La pagina è stata impostata dopo aver preso il controllo dell'account Facebook di un altro utente, che ha anche avvertito gli altri utenti nella sezione recensioni che l'account era stato hackerato. Durante l'indagine, sono state rilevate altre quattro pagine Facebook che tentavano di impersonare #Midjourney, alcune delle quali sono state rimosse dalla piattaforma. 

L'ultima pagina maliziosa che impersonava Midjourney sembra sia stata presa dagli attaccanti il 18 marzo, quando i criminali informatici hanno cambiato il nome originale della pagina Facebook originale. Al 26 marzo, il profilo truffa contava 637.000 follower. 

Questo caso evidenzia la sofisticazione delle strategie di malvertising basate sui social media e sottolinea l'importanza della vigilanza nell'interazione con le pubblicità online. La vasta scala delle reti sociali come Facebook, unita a una moderazione insufficiente, permette a queste campagne di persistere per lunghi periodi, facilitando la diffusione incontrollata di malware che porta a danni estensivi derivanti dalle

Tweet