Cibercriminosos estão tirando proveito da popularidade de ferramentas de inteligência artificial para aplicar golpes que envolvem softwares maliciosos. Instaladores falsos de plataformas como ChatGPT e InVideo AI vêm sendo usados para infectar sistemas com ransomwares devastadores e malwares destrutivos — afetando especialmente profissionais do setor de marketing e vendas B2B.
Golpistas usam IA como isca para novos ataques cibernéticos
Segundo o Cisco Talos, as ameaças incluem o ransomware CyberLock, criado com PowerShell e focado em criptografar arquivos específicos nas partições dos dispositivos das vítimas, e o Lucky_Gh0$t, uma evolução do conhecido ransomware Yashma. Há ainda um novo malware chamado Numero, com capacidade de inutilizar completamente sistemas Windows manipulando componentes gráficos do sistema operacional.
Armadilhas digitais: como operam os instaladores falsificados
Um dos sites envolvidos, “novaleadsai[.]com”, se passa por uma plataforma de geração de leads, oferecendo uma versão supostamente gratuita da ferramenta com assinatura posterior de US$ 95 por mês. No entanto, o arquivo disponibilizado é um ZIP que contém o executável “NovaLeadsAI.exe”, compilado exatamente no dia em que o domínio foi registrado. Esse arquivo funciona como um carregador para o CyberLock.
O CyberLock executa uma série de ações automatizadas após a instalação: ele tenta escalar privilégios no sistema, criptografa arquivos nas unidades “C:\”, “D:\” e “E:\” com extensões pré-determinadas, e solicita um resgate de US$ 50.000 em Monero. Em tom provocativo, os cibercriminosos alegam que o valor arrecadado será usado para ajudar populações vulneráveis na Palestina, Ucrânia, África e outras regiões.
Além disso, para dificultar a recuperação dos arquivos, o malware utiliza o utilitário interno do Windows “cipher.exe” com a opção “/w”, que apaga o espaço livre em disco.
ChatGPT e InVideo AI como disfarce para ransomware
Outro vetor de ataque descoberto envolvia um instalador malicioso que se apresentava como uma versão premium do ChatGPT. Esse instalador continha o ransomware Lucky_Gh0$t disfarçado como “dwn.exe”, imitando o legítimo “dwm.exe” do Windows. Junto ao ransomware, o pacote incluía ferramentas legítimas de IA da Microsoft, aumentando sua credibilidade.
Ao ser executado, o script embutido ativa o ransomware que, antes de criptografar arquivos de aproximadamente 1,2 GB, apaga todas as cópias de sombra do sistema, tornando impossível restaurar dados via backups locais. A vítima então recebe uma nota com um ID único e instruções para contato via aplicativo Session.
Malware Numero: destruição disfarçada de inovação
Já o malware Numero acompanha um instalador falso do InVideo AI e é ativado por meio de um ciclo automatizado envolvendo scripts em lote e Visual Basic. O comportamento malicioso do Numero inclui detecção e evasão de ferramentas de análise, além de modificar visualmente a interface do sistema com a sequência “1234567890”, deixando a máquina inoperante.
Golpes sofisticados com anúncios falsos e múltiplos malwares
A Mandiant, empresa do Google, identificou campanhas que utilizam anúncios no Facebook e LinkedIn para redirecionar vítimas a sites clonados de ferramentas de IA populares, como Canva Dream Lab e Kling AI. Esses portais falsos instalam o STARKVEIL, um dropper baseado em Rust que implanta múltiplas famílias de malware:
- GRIMPULL: Um downloader que utiliza TOR para buscar cargas adicionais.
- FROSTRIFT: Um backdoor que coleta dados do sistema e verifica extensões ligadas a carteiras cripto e gerenciadores de senhas.
- XWorm: Um trojan de acesso remoto com recursos como keylogger, captura de tela e controle remoto via Telegram.
O STARKVEIL também instala o COILHATCH, um dropper Python que carrega esses malwares de forma furtiva.
Alerta para todos os usuários de IA
O avanço dos ciberataques deixa claro que o risco não se limita mais a especialistas ou desenvolvedores. Qualquer usuário que busque ferramentas de IA pode se tornar alvo desses golpes, principalmente se for levado a clicar em anúncios enganosos ou baixar instaladores suspeitos.
A recomendação é sempre acessar ferramentas de IA apenas pelos sites oficiais, evitar baixar softwares de fontes desconhecidas e manter soluções de segurança atualizadas para prevenir infecções por ransomwares e outros malwares sofisticados.
