Un nuovo ceppo di malware noto come BundleBot ha operato furtivamente, consentendo agli attori delle minacce di acquisire informazioni sensibili da host compromessi.
“BundleBot ha un rilevamento statico molto basso o nullo“, ha affermato la società di sicurezza informatica Check Point in un rapporto pubblicato recentemente, aggiungendo che è “comunemente distribuito tramite annunci di Facebook e account compromessi che portano a siti web mascherati da normali programmi di utilità, strumenti di intelligenza artificiale e giochi“.
BundleBot porta a scaricare versioni fasulle
Tra questi casi, una vittima è certamente Google Bard, la nuova la chatbot di intelligenza artificiale generativa conversazionale dell’azienda americana (concorrente di Chat GPT), il cui “brand” viene utilizzato dagli hacker per indurre le vittime a scaricare un archivio RAR in realtà fasullo (“Google_AI.rar”), ospitato su servizi di cloud storage legittimi come Dropbox.
Il malware apre le porte a un “Information Stealer”
A seguito dell’inoculazione del malware gli hacker utilizzano funzionalità per sottrarre dati dai browser Web, acquisire schermate, acquisire token Discord, informazioni da Telegram e dettagli dell’account Facebook (“information stealing”).
Si sfruttano curiosità per l’AI e scarsa consapevolezza
Lo sfruttamento di “esche” come Google Bard non sorprende, dato che la popolarità di tali strumenti di intelligenza artificiale è stata sfruttata dai criminali informatici negli ultimi mesi per indurre gli utenti su piattaforme come Facebook a scaricare inconsapevolmente una varietà di malware per il furto di informazioni.
“Il metodo utilizzato tramite Facebook Ads e account compromessi è qualcosa sfruttato da un po’ di tempo“, ha osservato Check Point.
Chatbot e Google AI, vittime di impostori camuffati da siti legittimi
La notizia arriva proprio quando Malwarebytes ha scoperto una nuova campagna che utilizza post sponsorizzati e account verificati compromessi che impersonano profili Facebook Ads Manager per invogliare gli utenti a scaricare estensioni fasulle di Google Chrome progettate per rubare le informazioni di accesso di Facebook.
La campagna è “interamente focalizzata su Facebook e raccoglie informazioni importanti che potrebbero consentire a un utente malintenzionato di accedere agli account“.
Si sospetta che gli attori della minaccia dietro l’attività siano di origine vietnamita, negli ultimi mesi hanno mostrato un vivo interesse nel prendere di mira gli account aziendali e pubblicitari di Facebook.
“I truffatori hanno molto tempo a disposizione e passano anni a studiare e capire come abusare dei social media e delle piattaforme cloud, dove è una costante corsa agli armamenti per tenere fuori i malintenzionati“, ha affermato Malwarebytes.
Serve più consapevolezza
Insomma, come sempre è una lotta tra buoni e cattivi, dove spesso i buoni rincorrono i cattivi e dove è necessaria maggiore consapevolezza: capire che esistono canali e store ufficiali dai quali scaricare programmi o accedere a funzionalità (come Google Bard), evitando di cliccare su qualsiasi fonte che propone un download o richieda dati.
Ti è piaciuto l’articolo? Contatta Noi Sicurezza per una consulenza in materia di cyber security: