Lumma Stealer: generatori di video AI fake infettano PC Windows

Generatori di immagini e video AI falsi infettano Windows e macOS con i malware Lumma Stealer e AMOS. Questi infostealer sono usati per rubare credenziali e wallet di criptovaluta dai dispositivi infetti. In particolare, Lumma Stealer è un malware per Windows e AMOS è per macOS. Tuttavia, entrambi rubano portafogli di criptovaluta e cookie, credenziali, password, carte di credito e cronologia di navigazione da Google Chrome, Microsoft Edge, Mozilla Firefox e altri browser Chromium. Questi dati vengono raccolti in un archivio e inviati all'hacker, che può utilizzarli in ulteriori attacchi o venderli sui mercati della criminalità informatica.

Nell'ultimo mese, gli autori delle minacce hanno creato siti web falsi che impersonano un editor di immagini e video AI chiamato EditPro. Come scoperto dal ricercatore di sicurezza informatica g0njxa, i siti vengono promossi tramite risultati di ricerca e pubblicità su X che condividono video politici deepfake, come il presidente Biden e Trump che mangiano insieme un gelato. Cliccando sulle immagini si accede a falsi siti web per l'applicazione EditProAI, con editproai[.]pro, creato per diffondere malware Windows ed editproai[.]org, per diffondere malware macOS. I siti hanno un aspetto professionale e contengono persino l'onnipresente banner dei cookie, il che li fa apparire e percepire come legittimi. Tuttavia, cliccando sui link "Ottieni ora" verrà scaricato un eseguibile che finge di essere l'applicazione EditProAI. Per gli utenti Windows, il file si chiama "Edit-ProAI-Setup-newest_release.exe" e per macOS, si chiama invece "EditProAi_v.4.36.dmg".

Lumma Stealer: come funziona l’attacco infostealer su Windows e macOS

Il malware Lumma Stealer è firmato da quello che sembra essere un certificato di firma del codice rubato da Softwareok.com, uno sviluppatore di utility freeware. G0njxa afferma che il malware utilizza un pannello in "proai[.]club/panelgood/" per inviare dati rubati, che possono poi essere recuperati in un secondo momento dagli hacker. Un report di AnyRun mostra l'esecuzione della variante Windows, con il servizio sandbox che rileva il malware come Lumma Stealer. Gli utenti che hanno scaricato tale programma in passato dovrebbero controllare tutte le proprie password salvate, i wallet di criptovaluta e le autenticazioni compromesse e reimpostarle immediatamente con password univoche in ogni sito che si visita. Gli utenti dovrebbero anche abilitare l'autenticazione a più fattori in tutti i siti sensibili. Questi includono gli exchange di criptovaluta, l'online banking, i servizi di posta elettronica e i servizi finanziari.

Il malware Lumma Stealer e simili hanno registrato una crescita enorme negli ultimi anni. Sempre più attori delle minacce conducono infatti massicce operazioni globali per rubare credenziali e token di autenticazione degli utenti. Altre campagne che hanno recentemente promosso gli infostealer includono l'uso di vulnerabilità zero-day, false correzioni ai problemi di GitHub e persino false risposte su StackOverflow. Gli hacker usano poi le credenziali rubate per violare le reti aziendali, condurre campagne di furto di dati come visto con le massicce violazioni degli account SnowFlake e causare caos corrompendo le informazioni di routing della rete.