最近、偽のAI画像および動画生成ツールがWindowsとmacOSデバイスに感染する事例が報告されました。このマルウェアは主にLumma Stealer(Windows用)とAMOS(macOS用)で、被害者の認証情報や暗号通貨ウォレットを狙っています。特に、これらのマルウェアはGoogle ChromeやMicrosoft Edge、Mozilla Firefoxを通じて、クッキー、パスワード、クレジットカード情報、閲覧履歴を盗み出します。
収集されたデータはアーカイブされ、攻撃者に送信されます。この情報はさらなる攻撃に利用されたり、サイバー犯罪マーケットで販売されたりします。過去1ヶ月間で、脅威役者たちはEditProというAI動画および画像編集アプリの偽サイトを作成し、検索結果やX(旧Twitter)上の広告で拡散しました。その中には、バイデン大統領とトランプ元大統領がアイスクリームを楽しむ深層偽装動画が含まれています。
これらの画像をクリックすると、EditProAIアプリケーションの偽サイトに誘導されます。特に、editproai[.]proというサイトはWindows向けのマルウェアを、editproai[.]orgはmacOS用のマルウェアを配布するために作られました。これらのサイトは見た目が非常にプロフェッショナルで、クッキーバナーも表示されているため、信頼性があるように見えます。しかし、「Get Now」リンクをクリックすると、EditProAIアプリとして偽装された実行ファイルがダウンロードされます。Windows用ファイルは「Edit-ProAI-Setup-newest_release.exe」と呼ばれ、macOS用は「EditProAi_v.4.36.dmg」と名付けられています。
このWindowsマルウェアは、ソフトウェア開発者から盗まれたと思われるコード署名証明書によって署名されています。g0njxaというサイバーセキュリティ研究者によれば、マルウェアは「proai[.]club/panelgood/」というサイトを通じて盗まれたデータを送信しており、攻撃者は後でこの情報を回収できます。AnyRunのレポートでは、Windowsバリアントの実行が検出され、Lumma Stealerとして特定されています。
もしこのプログラムを過去にダウンロードした場合、保存していたすべてのパスワードや暗号通貨ウォレット、認証情報が侵害された可能性があるため、すぐにそれらの情報をすべてリセットすることをお勧めします。それぞれのサイトでユニークなパスワードを使用し、特に暗号通貨取引所やオンラインバンキング、メールサービスといった重要なサイトには多要素認証を有効にしてください。情報盗難マルウェアはここ数年で大きな成長を遂げており、脅威役者たちは大規模なオペレーションを展開しています。
