Com o uso cada vez mais frequente da inteligência artificial (IA) em nosso dia a dia, muitos malwares do tipo infostealers passaram a oferecer falsos serviços de IA generativa para atrair vítimas. Dois modelos em particular chamam a atenção, pelo potencial de alcance e de produção de danos contra possíveis alvos: Rilide Stealer e Vidar Stealer. Ambos chegam até as vítimas por meio de propagandas (advertisings) maliciosas, notadamente em redes como o Facebook, para depois infectar sistemas operacionais e roubar informações pessoais, credenciais de acesso e até carteiras de criptomoedas. A versatilidade dos softwares também chama atenção.
Rilide Stealer: um malware disfarçado de extensão do Google Tradutor
O primeiro malware, chamado Rilide Stealer, é um arquivo malicioso que se disfarça como uma extensão do Google Tradutor, dentro do Chrome. Desde agosto de 2023, a telemetria da ESET registrou mais de 4000 tentativas de instalação desta extensão. Para atrair vítimas, as propagandas enganam os usuários e propõem supostos serviços de modelos generativos de IA. O arquivo normalmente oferece links dos sites oficiais de serviço de IA generativa, como o Sora ou o Google Gemini, usados como isca para gerar credibilidade.
O infostealer, detectado com os nomes de JS/Extenbro.Agent.EK e JS/Extenbro.Agent.EP, busca notadamente informações de credenciais de Facebook. Segundo a telemetria da ESET, o pico de registros aconteceu entre dezembro de 2023 e janeiro de 2024. Os riscos que o Rilide Stealer traz envolvem a leitura de cookies e senhas armazenadas em navegadores, além do registro e do monitoramento de atividades e do acesso a carteiras de criptomoedas.
Vidar Stealer: um malware disfarçado de aplicativo de IA
Já o Vidar Stealer é espalhado via Facebook Ads, grupos de Telegram e fóruns na dark web, e se disfarça como uma versão para desktop do aplicativo Midjourney, um dos mais famosos geradores de imagens com inteligência artificial. O Midjourney, vale lembrar, não possui aplicativo – a única extensão para além do site oficial atua através de um chatbox no Discord. Foi observado, inclusive, que o arquivo do malware é nomeado Midjourney v6, simulando uma nova e atualizada versão do aplicativo.
Notícias Relacionadas
Cibersegurança industrial
Mais de 145 mil sistemas industriais expostos online
Pesquisa revela mais de 145 mil sistemas industriais expostos em 175 países. Dispositivos ICS vulneráveis representam risco crescente para infraestrutura crítica.
Segurança digital
Amazon e Audible enfrentam onda de spam com sites de forex e warez
Amazon e Audible estão sendo inundados com conteúdos maliciosos que promovem esquemas de forex e links para sites suspeitos, revelando falhas no controle de spam em plataformas digitais.
O funcionamento prático, após a execução, se dá a partir da detecção de um Java runtime environment (JRE), que funciona como comunicador entre a aplicação e o sistema operacional. Se não há o programa, o instalador malicioso redireciona a vítima para o site oficial de download da Java, indicando que não é possível a execução sem o componente. Uma vez com o JRE instalado, o programa conclui sua instalação e abre uma tela com publicidade do Midjourney.
O instalador, detectado pela ESET como Java/TrojanDownloader.Agent.NWR, baixa e instala diversos malwares e o Autoit versão 3, que por sua vez, leva ao sistema o Vidar Stealer, que pode registrar uso das teclas e furtar senhas armazenadas por navegadores, além de dados de carteiras de criptomoedas.
Conclusão: a importância das medidas de segurança proativas
Em resumo, o comportamento destes malwares nos alerta para a importância das medidas de segurança proativas. Além de manter os sistemas operacionais protegidos, é fundamental observar e se manter atento aos links, ofertas, mensagens e propagandas suspeitas nas redes sociais. É interessante utilizar apenas aplicativos e ferramentas de IA em sites ou extensões oficiais providenciadas pelas empresas responsáveis e ter conhecimento sobre possíveis tentativas de phishing em propagandas online. Vale lembrar que boa parte das campanhas maliciosas se baseia em contato ativo com suas possíveis vítimas, isso significa que, caso você tenha recebido um e-mail, mensagem por WhatsApp/Telegram, SMS ou qualquer outro tipo de canal de forma passiva, sem ter solicitado previamente, há grandes chances de se tratar de um golpe.
Fique sempre alerta a estes sinais para não se deixar levar pelas falsas promessas das ameaças digitais.
