网络犯罪分子将威胁伪装成 AI 工具安装者

快速阅读: 据《Talos Intelligence 博客》最新报道，思科Talos团队发现新型威胁，包括伪装成AI工具的勒索软件CyberLock、Lucky_Gh0$t及破坏性恶意软件Numero，提醒企业防范风险并提供检测与防护方法。

思科Talos团队近期发现了一系列新型威胁，包括勒索软件CyberLock、Lucky_Gh0$t以及一种新发现的恶意软件“Numero”，这些威胁均伪装成合法的人工智能工具安装程序。其中，使用PowerShell编写的CyberLock勒索软件主要针对受害系统中的特定文件进行加密。威胁行为者在勒索信中谎称付款将用于多个地区的慈善援助，包括巴勒斯坦、乌克兰、非洲及亚洲地区。Lucky_Gh0$t勒索软件是Yashma勒索软件的变种，属于Chaos勒索软件系列的第六代迭代，仅对勒索软件二进制文件进行了细微调整。新发现的破坏性恶意软件Numero通过操控受害者的Windows操作系统图形用户界面(GUI)组件，导致系统完全不可用。

人工智能技术已经广泛应用于各个行业，推动了行业的变革。然而，随着人工智能的普及，恶意行为者也开始利用其流行度，分发伪装成人工智能解决方案安装程序和工具的各种恶意软件。威胁行为者采用多种技术和渠道分发这些伪造工具，包括搜索引擎优化(SEO)中毒技术，使恶意网站或下载链接出现在搜索结果前列，以及利用Telegram或社交媒体消息平台等。这使得企业在寻找人工智能解决方案时面临风险，不仅可能危及敏感的商业数据和金融资产，还会破坏对合法人工智能市场解决方案的信任。

Talos最近发现了多个伪装成人工智能解决方案的威胁正在传播，其中包括CyberLock和Lucky_Gh0$t勒索软件家族，以及一种新发现的破坏性恶意软件，命名为“Numero”。这些人工智能工具的合法版本在B2B销售领域和技术、营销领域特别受欢迎，表明这些行业中个人和组织尤其容易受到这些恶意威胁的攻击。

**CyberLock勒索软件**

Talos观察到威胁行为者创建了一个仿冒的人工智能解决方案网站，域名为‘novaleadsai[.]com’，疑似伪装成原网站域‘novaleads.app’，这是一个旨在通过多种服务和绩效模式帮助企业最大化潜在客户价值的潜在客户货币化平台。在虚假网站上，威胁行为者通过提供前12个月免费使用，之后每月收费95美元的方式诱导用户下载产品。此外，他们还使用了一种搜索引擎优化(SEO)中毒技术，使虚假网站出现在在线搜索引擎的搜索结果前列。

当用户下载这个伪造的人工智能产品作为ZIP存档时，它包含一个名为‘NovaLeadsAI.exe’的.NET可执行文件。该可执行文件是在2025年2月2日编译的，与虚假域名‘novaleadsai[.]com’创建的日期相同。‘NovaLeadsAI.exe’文件是加载器，其中嵌入了CyberLock勒索软件的PowerShell脚本作为资源文件。当受害者运行加载器时，勒索软件即被部署。

CyberLock勒索软件早在2025年2月就开始运行。勒索信声称威胁行为者已获得对敏感商业文件、个人文件和机密数据库的完全访问权，要求支付高额赎金以获取解密密钥。受害者被指示通过电子邮件‘cyberspectreislocked@onionmail[.]org’与威胁行为者取得联系。CyberLock威胁行为者要求以门罗币(XMR)加密货币支付5万美元赎金，并虚假声称赎金将用于巴勒斯坦、乌克兰、非洲和亚洲等地的慈善援助，以施加心理压力。行为者将付款分成两个独立的钱包，增加了防御者追踪的难度。勒索信结构旨在恐吓和操控受害者，威胁若三天内未付款将公开被盗数据。然而，Talos在勒索软件代码中未发现任何数据泄露功能的证据。

**Lucky_Gh0$t勒索软件作为假ChatGPT安装程序**

Talos发现威胁行为者在野外分发Lucky_Gh0$t勒索软件，打包在一个自解压归档(SFX)ZIP安装程序中，文件名为‘ChatGPT 4.0 full version – Premium.exe’。恶意的SFX安装程序包含一个文件夹，其中包含名为‘dwn.exe’的Lucky_Gh0$t勒索软件可执行文件，模仿合法的Microsoft可执行文件‘dwm.exe’。文件夹中还包含Microsoft提供的合法开源人工智能工具，这些工具可在其GitHub存储库中供开发人员和数据科学家使用，尤其是在Azure生态系统中。威胁行为者在SFX归档中包含合法工具的意图可能是通过伪装成合法包来规避反恶意软件文件扫描器的检测。

当受害者运行恶意的SFX安装程序文件时，SFX脚本会执行勒索软件。Lucky_Gh0$t勒索软件是Yashma勒索软件的变种，大多数功能保持不变，包括规避技术、删除卷影副本和备份，以及AES-256和RSA-2048加密技术。Talos观察到Lucky_Gh0$t二进制文件中有一些小的修改，涉及勒索软件在加密过程中需要考虑的目标文件大小限制。Lucky_Gh0$t针对受害者机器上大小约为1.2GB以下的文件，并使用RSA加密的AES密钥加密这些文件，附加一个四位数的随机字母数字字符作为文件扩展名。加密的目标文件类别包括：文本、代码和配置文件；Microsoft Office和Adobe文件；媒体格式和图像；存档和安装程序；备份和数据库文件；Android包套件、Java服务器页面和活动服务器页面；证书文件；Visual Studio解决方案和PostScripts。

对于大于1.2GB的目标文件，勒索软件会创建一个与原始文件大小相同的文件，并将单个字符“？”写入文件内容。它为新文件附加一个四位数的随机字母数字字符文件扩展名，并删除原始文件，表现出破坏性行为。

**Numero假装成人工智能视频制作工具**

Talos最近在野外发现了一种新型破坏性恶意软件，我们将其命名为“Numero”，伪装成AI视频创作工具安装程序InVideo AI。InVideo AI是一个广泛用于营销视频、社交媒体内容、解释性视频和演示文稿的在线平台。威胁行为者在恶意文件的元数据中伪造了产品和组织名称。

假安装程序是一个dropper（投放器），包含恶意Windows批处理文件、VB脚本和名为“wintitle.exe”的Numero可执行文件。当受害者运行假安装程序时，它会将恶意组件释放到本地用户配置文件的应用程序临时文件夹中的一个文件夹内。然后，它通过Windows shell以无限循环方式执行释放出的Windows批处理文件。首先运行Numero恶意软件，然后通过cscript执行VB脚本暂停60秒。

在恢复执行后，批处理文件终止Numero恶意软件进程并重新启动其执行。通过在批处理文件中实现无限循环，Numero恶意软件会在受害机器上持续运行。Numero是一款用C++编写的32位Windows可执行文件，于2025年1月24日编译完成。Numero通过检查各种恶意软件分析工具和调试器的进程句柄来规避分析，包括IDA、x64调试器、x32调试器、ollydbg、scylla、windbg、reshacker、ImportREC、Immunity调试器、Zeta调试器和Rock调试器。

Numero恶意软件以无限循环创建并执行线程。线程代码与Windows GUI交互，并使用Windows API GetDesktopWindow、EnumChildWindows和SendMessageW操纵受害者的桌面窗口。它持续监控受害机器的桌面窗口，并挂钩到受害桌面创建的子窗口。Numero用数字字符串“1234567890”覆盖窗口标题、按钮和内容，使受害机器变得无法使用。

**检测与防护方法**

以下是我们的客户可以用来检测和阻止此威胁的方法：

– Cisco Secure Endpoint（原名AMP for Endpoints）非常适合阻止本文档中详细描述的恶意软件执行。在这里免费试用Secure Endpoint。
– Cisco Secure Email（原名Cisco Email Security）可以阻止威胁行为者在其活动中发送的恶意电子邮件。您可在此处免费试用Secure Email。
– Cisco Secure Firewall（原名下一代防火墙和Firepower NGFW）设备，如Threat Defense Virtual、Adaptive Security Appliance和Meraki MX，可以检测与此威胁相关的恶意活动。
– Cisco Secure Network/Cloud Analytics（Stealthwatch/Stealthwatch Cloud）自动分析网络流量，并向每个连接设备的用户发出可能存在不必要活动的警告。
– Cisco Secure Malware Analytics（Threat Grid）识别恶意二进制文件，并将防护功能集成到所有Cisco Secure产品中。
– Cisco Secure Access是一种基于零信任原则构建的现代云交付安全服务边缘（SSE）。无论您的用户在哪里工作，Secure Access都能提供透明且安全的互联网、云服务或私有应用程序访问。
– Umbrella是Cisco的安全互联网网关（SIG），无论用户是在公司网络内还是外，都可以阻止用户连接到恶意域、IP和URL。
– Cisco Secure Web Appliance（原名Web Security Appliance）会自动阻止潜在危险的网站，并在用户访问前测试可疑网站。

根据您特定环境和威胁数据的额外保护措施可从防火墙管理中心获取。Cisco Duo为用户提供多因素身份验证，确保只有授权用户才能访问您的网络。

开源Snort订阅者规则集客户可以通过下载Snort.org上可供购买的最新规则包保持更新。针对这些威胁的Snort SID如下：

– Snort 2：64901、64902、64899、64900、64897、64898、64896
– Snort 3：301207、301206、301205

ClamAV检测也适用于此威胁：

– Ps1.Ransomware.CyberLock-10045054-0
– Win.Dropper.CyberLock-10045058-0
– Ps1.Ransomware.CyberLock-10045054-0
– Win.Dropper.LuckyGhost-10045078-0
– Win.Ransomware.LuckyGhost-10045080-0
– Win.Dropper.LuckyGhost-10045078-0
– Win.Loader.Numero-10045084-0
– Win.Dropper.LuckyGhost-10045078-0
– Win.Dropper.Numero-10045088-0
– Win.Dropper.LuckyGhost-10045078-0
– Win.Malware.Numero-10045090-0
– Win.Dropper.LuckyGhost-10045078-0
– Win.Malware.Numero-10045093-0

**妥协指标**

此威胁的IOC可以在我们的GitHub存储库中找到这里。

(以上内容均由Ai生成)