网络犯罪分子利用虚假ChatGPT安装程序实施攻击

正文

请到「今天看啥」查看全文

Part 03

多重攻击载体

Talos还观察到攻击者以高级版ChatGPT虚假安装程序为幌子分发Lucky_Gh0$t勒索软件。该恶意自解压(SFX)安装程序包含一个文件夹，内有伪装成合法Microsoft可执行文件"dwm.exe"的Lucky_Gh0$t勒索软件可执行文件"dwn.exe"。文件夹中还包含微软官方开源AI工具，这些工具原本面向Azure生态系统中使用AI的开发者和数据科学家。

当受害者运行恶意SFX安装文件时，SFX脚本会执行勒索软件有效载荷。作为Yashma勒索软件变种，Lucky_Gh0$t会删除卷影副本和备份，然后对大小约小于1.2GB的文件进行加密。攻击结束后投放的勒索信包含唯一的个人解密ID，并指示受害者通过Session消息应用联系攻击者支付赎金获取解密工具。

Part 04

新型破坏性恶意软件

攻击者还利用AI工具日益普及的趋势，通过伪造AI视频创作平台InVideo AI的安装程序分发代号为Numero的破坏性恶意软件。该欺诈性安装程序作为投放器包含三个组件：Windows批处理文件、Visual Basic脚本和Numero可执行文件。安装程序启动后，批处理文件通过Windows shell无限循环运行，依次执行Numero并通过cscript运行VB脚本使其暂停60秒。

这款采用C++编写的32位Windows可执行文件会检查运行进程中是否存在恶意软件分析工具和调试器，随后用数字字符串"1234567890"覆盖桌面窗口的标题、按钮和内容。该恶意软件编译日期为2025年1月24日。

Part 05

恶意广告攻击活动

请到「今天看啥」查看全文