Зловмисники дедалі частіше експлуатують ажіотаж навколо штучного інтелекту, видаючи шкідливі програми за легітимні AI-додатки. Під виглядом безкоштовних або преміальних сервісів на базі ШІ вони заманюють користувачів на фальшиві платформи і заражають їхні пристрої.
За даними досліджень Talos і Google Mandiant, останніми місяцями зафіксовано декілька «хвиль» таких атак. Зокрема, в’єтнамське угруповання UNC6032 запускало таргетовану рекламу Luma AI, Canva Dream Lab і Kling AI у Facebook та LinkedIn. Проте при переході за оголошеннями користувач потрапляв на клоновані сайти, що обіцяли безкоштовний відеогенератор, — натомість завантажував шкідливий інсталяційний файл.
У результаті на комп’ютер або ноутбук встановлювалася програма, здатна красти облікові дані, фіксувати натискання клавіш і надавати хакерам повний віддалений доступ. Перезавантаження системи не вирішувало проблему: вірус автоматично запускався знову. Експерти оцінюють потенційну аудиторію цих підроблених кампаній у понад два мільйони користувачів Facebook і десятки тисяч у LinkedIn.
Фахівці Talos виявили три основні сімейства шкідливого ПЗ, що ховаються за виглядом преміальних AI-сервісів:
- CyberLock — маскується під інструмент для генерації лідів NovaLeadsAI, пропонує рік безкоштовного користування з подальшою підпискою, але насправді блокує Windows і вимагає викуп $50 000 у Monero «на благодійність».
- Lucky_Gh0$t — видає себе за повноцінний ChatGPT-4, але шифрує файли до 1,2 ГБ і безповоротно видаляє всі більші об’єми даних.
- Numero — позиціонує себе як відеогенератор InVideo, проте змінює інтерфейс Windows: замість текстових підписів у вікнах і на кнопках відображає випадкові цифри, фактично блокуючи користувача.
Експерти радять не встановлювати AI-додатки з неперевірених джерел чи за посиланнями з надто привабливими обіцянками. Краще використовувати офіційні сервіси — наприклад, ChatGPT від OpenAI або Gemini від Google. Також рекомендується регулярно робити резервні копії, застосовувати унікальні паролі (за допомогою менеджера паролів) і міняти їх щонайменше раз на кілька місяців.
У відповідь на атаки Meta вже видалила підозряну рекламу, заблокувала фейкові вебресурси та призупинила акаунти, пов’язані з UNC6032. Завдяки оперативним діям більшість загроз ліквідовано ще до того, як постраждали масові користувачі.