hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
25 lipca 2024

Sora AI już dostępne? A nie, to Lumma Stealer

#analiza #dlakażdego #phishing

Reklama w mediach społecznościowych ogłasza nadejście Sora AI? Zachwala możliwości modelu i zachęca do pobrania aplikacji? Bez rejestracji i podawania danych karty kredytowej? Pobierasz, a tam nic? Może aplikacja się nie uruchomiła, ale Lumma Stealer zadba, by Twoje dane popłynęły szerokim strumieniem do przestępców.

Po raz kolejny, po kampaniach związanych z ChatGPT i Bard AI, oszuści wykorzystują nowinki ze świata sztucznej inteligencji do infekowania złośliwym oprogramowaniem. Narzędzia kuszą możliwościami usprawniania pracy i dostarczenia rozrywki, Sora AI stworzone przez OpenAI ma generować filmy z promptów tekstowych. Próbki działania tego systemu są obiecujące i stały się atrakcyjnym motywem szkodliwych reklam. Tego typu reklamy w wielu opcjach językowych można znaleźć – gdzieżby indziej? – na Facebooku.

Reklama „Sora AI” na Facebooku

Reklamy w tej kampanii pochodzą zarówno ze stron, które podszywają się nazwą po Sora AI, ale też też z zupełnie przypadkowych miejsc na Facebooku, jak na przykład strona „Czadoman”. Co ciekawe, choć ta druga strona to prawdopodobnie przejęty polski fanpage, reklama była w języku angielskim, zaś kierowano ją do odbiorców z… Hiszpanii.

Jeżeli reklama zachęci Was do wejścia w odnośnik, zobaczycie witrynę, która nakłania Was do pobrania pliku. Docelowe pliki to sora.exe oraz archiwum .zip o losowej nazwie, w którym znajdziemy plik różniący się od sora.exe tylko nazwą – oba to Lumma Stealer.

Czym jest Lumma Stealer?

Lumma Stealer (lub LummaC2 Stealer) to złośliwe oprogramowanie wykradające dane. Jest dostępne w modelu Malware-as-a-Service (MaaS), można je kupić na rosyjskojęzycznych forach co najmniej od sierpnia 2022 roku. Lumma jest wykorzystywana w szeregu scenariuszy przez wiele grup, ze względu na bogate możliwości modyfikacji i dostosowywania do indywidualnych potrzeb kupującego. Znajdujemy informacje o kampaniach złośliwego oprogramowania podszywającego się pod prawdziwe (np. Bit Defender) lub podszywaniem się pod popularną bibliotekę używaną przez programistów Pythona (paczka na PyPI „crytic-compile”). Lumma znana jest z unikania wykrycia przez programy antywirusowe, wykrywania środowisk analitycznych, obfuskowania (zaciemniania) komunikacji z serwerami C2, a także szyfrowania eksfiltrowanych danych. Nie należy do wrogów łatwych i przystępnych w analizie.

Nakreślmy zasadnicze funkcje Lumma Stealer: kradnie wszystkie dane, jakie znajdzie i uzna za interesujące. Do zwykle kradzionych danych według analiz należą:

  • portfele kryptowalutowe (klucze prywatne, adresy portfeli, historia transakcji,
  • informacje z przeglądarek internetowych (m.in. ciasteczka, historia przeglądania, rozszerzenia, a do tego informacje z wewnętrznych menedżerów haseł),
  • dane z klientów poczty e-mail (wiadomości, załączniki, poświadczenia logowania),
  • pliki, zawierające określone słowa kluczowe (wallet, bitcoin, seed, pass) lub które zostaną uznane za potencjalnie zawierające istotne dane.

Zatem przyjrzyjmy się bliżej

Gdy przyjrzymy się stronie, wyraźnie widać działania, mające na celu utrudnienie analizy. Przy weryfikacji witryny za pomocą np. VirusTotal lub urlscan.io wyświetlana jest strona (bez przekierowań) inna niż w przypadku wejścia z faktycznego urządzenia. To, co zobaczymy za pośrednictwem sandboxa, to jedynie zaślepka. Nieszkodliwa wizytówka niekoniecznie istniejącego startupu z dziedziny sztucznej inteligencji – „Undivo”.

Co więcej, przy analizie plików w sandboxie możemy również zaobserwować próby ukrycia rzeczywistych funkcji oprogramowania, które dla niepoznaki rozpoczyna proces instalacji prawdziwego Notepad++.

Dwie próbki pobierane z dwóch różnych stron są podpisane poprawnymi i ważnymi certyfikatami. Jeden z firmy Foxbow Limited, drugi od Timber Digital Limited, a informacje na temat produktu i wersji mają stworzyć iluzję wiarygodności. Choć te certyfikaty faktycznie mogą być używane do podpisywania kodu, firmy nie mają nic wspólnego z OpenAI.

Szukając informacji na temat firmy Foxbow Limited można natknąć się na informacje z rejestru przedsiębiorców w Wielkiej Brytanii. Widnieje tam jako mała działalność związana z wytwarzaniem oprogramowania. Po szybkim wyszukiwaniu znajdujemy też inne pliki podpisane tym samym certyfikatem. Co ciekawe – szok i niedowierzanie – kolejne „podszywki”! Jedna z aplikacji podszywa się pod popularny edytor zdjęć Faceswap, zaś AppLauncher.exe podaje się za PuTTy. Czy zatem mamy do czynienia z rzetelną firmą? Pytanie wydaje się retorycznym.

W ten sposób znaleźliśmy także inne próbki Sora.exe, dla jednej z nich certyfikat został już unieważniony.

Timber Digital Limited to także mikrofirma z Wielkiej Brytanii zajmująca się wytwarzaniem oprogramowania. Tym razem niekoniecznie złośliwego, a przynajmniej certyfikat, którego używają developerzy, nie jest powszechnie używany do podpisywania malware’u.

Komunikacja do serwerów Command&Control (C2) ma miejsce po API za pośrednictwem stron w domenie .shop.

Domena do której odbywa się eksfiltracja jest umieszczona na profilu na Steam. Tam jest zakodowana domeną za pomocą ROT15. Po rozkodowaniu otrzymujemy adres reinforcedirectorywd[.]shop. Wykorzystywanie Steama może przypominać zachowanie malware Vidar, o którym pisaliśmy już w maju.

Jak się chronić przed Lumma Stealer?

To nie pierwsza tego typu kampania w mediach społecznościowych. Pamiętajcie więc przede wszystkim o tym, by nie pobierać oprogramowania reklamowanego przez przypadkowe strony, czy to na Facebooku, czy na przykład na LinkedIn. Aplikacje i programy pobierajmy z zaufanych źródeł i oficjalnych stron producentów.

Trafiliście na testy jakiejś długo oczekiwanej nowinki albo wyjątkowo świetną ofertę? Zanim ulegniesz ekscytacji – doczytaj, zweryfikuj informacje u źródła, a przede wszystkim opanuj emocje. Będąc na bieżąco zauważysz, że Sora AI jest jeszcze w fazie testów. Developerzy na pewno ogłoszą publicznie premierę, a będzie o niej tak głośno, że na pewno Cię nie ominie.

Co zrobić jeżeli trafię na taką reklamę? Doświadczeni użytkownicy od razu zauważą, że coś jest z nią nie tak i sprawa jest podejrzana. W takiej sytuacji zachęcamy do zgłaszania zdarzenia przez formularz kontaktowy na naszej stronie. Przekazana w ten sposób informacja na pewno trafi do naszych analityków.

Indicators of Compromise (IoC)

Domeny phishingowe

opensora-ai[.]com
openai.index-sora[.]com
index-sora-ai[.]com

Domeny C2

shinyearthtwio[.]shop
unseaffarignsk[.]shop
shepherdlyopzc[.]shop
upknittsoappz[.]shop
liernessfornicsa[.]shop
outpointsozp[.]shop
callosallsaospz[.]shop
lariatedzugspd[.]shop
indexterityszcoxp[.]shop
reinforcedirectorywd[.]shop

Hashe plików

Sora.exe
b9193ab00083aac394003b70769a4781260c0278b46d96b3dd291643d4b05d0d
94027159d1639461fbeb741ebbfa44eba9af2a0a9af2b32eaf711c8481bc964e
91e9da5e20c1814991d086ecbb3436fa89ff99bc56e0b4e8bd3da0564ccbe7d7

Certyfikaty

Signer: Foxbow Limited
Certificate thumbprint 7FCCC06127550F213AC0BEA666C088F4B8221372
Serial Number 38 E4 8A CC 34 3E 2C 92 0A BF B9 A0 B8 C0 2B A9

Signer: TIMBER DIGITAL LIMITED
Certificate thumbprint 3D470D3F32806CCAD515A88768E8EA0A56CAC919
Serial Number 53 EC 0C C4 8C 77 C3 3E EC 15 ED 3B 7D D4 4A 8E

Julia Jancelewicz

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

5 września 2024
Kusi Cię kasyno? Lepiej uważaj!
Dowiedz się więcej
28 sierpnia 2024
Fake news i kradzież hasła do Facebooka
Dowiedz się więcej
27 sierpnia 2024
Darmowy bilet na komunikację miejską? To nowy pomysł oszustów
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas