Фальшиві ШІ-інструменти та SEO-прийоми: 8500 малих і середніх підприємств стали жертвами зростаючої кампанії з поширення шкідливого ПЗ

Експерти з кібербезпеки виявили широкомасштабну кампанію, в якій використовуються SEO-отруєння та фальшиві сайти з програмним забезпеченням, щоб змусити користувачів завантажувати шкідливе програмне забезпечення, замасковане під популярні інструменти штучного інтелекту та підвищення продуктивності.

Шкідливе програмне забезпечення, що поширюється через підробки

За даними Arctic Wolf, зловмисники просувають троянізовані версії легального програмного забезпечення, такого як PuTTY та WinSCP, через підроблені сайти, такі як puttyy[.]org та updaterputty[.]com. Після завантаження ці інструменти встановлюють бекдор, відомий як Oyster (також називається Broomstick), який підтримує стійкість за допомогою запланованих завдань та шкідливих DLL-файлів.

Інша частина кампанії використовує пошукові запити, пов'язані з штучним інтелектом, щоб заманити користувачів на фішингові сторінки. Ці сайти надають захищені паролем ZIP-архіви, що містять великі, на перший погляд легальні інсталятори. Після запуску вони встановлюють шкідливе програмне забезпечення для викрадення даних, таке як Vidar і Lumma, використовуючи AutoIt або пакетні скрипти, щоб уникнути виявлення.

Викрадення запитів технічної підтримки

Зловмисники також викрадають запити технічної підтримки для таких брендів, як Apple і Netflix. Використовуючи введення параметрів пошуку, шахраї змінюють офіційні сторінки підтримки брендів, щоб показувати підроблені номери телефонів, обманюючи користувачів, щоб вони дзвонили безпосередньо зловмисникам.

MacOS також є мішенню

Шкідливе програмне забезпечення, націлене на системи macOS, було виявлено за допомогою подібних тактик. Дослідники ідентифікували Poseidon Stealer і PayDay Loader, останній використовує події Google Calendar і заплутаний JavaScript для розгортання корисних навантажень, таких як Lumma Stealer на Windows і модулях Node.js, для вилучення криптогаманців.

8500 користувачів малого та середнього бізнесу обдурили всього за чотири місяці

Kaspersky повідомляє, що з січня по квітень 2025 року було атаковано понад 8500 користувачів малого та середнього бізнесу. Шкідливе програмне забезпечення, замасковане під інструменти Zoom, Outlook, ChatGPT та Microsoft Office, було широко розповсюджено. Файли, пов'язані з Zoom, становили 41% шкідливих варіантів, а кількість підробок ChatGPT зросла на 115%.

Захистіть себе: використовуйте тільки офіційні джерела

Дослідники в галузі безпеки закликають користувачів завантажувати інструменти тільки з офіційних веб-сайтів постачальників і уникати натискання на спонсоровані оголошення в результатах пошуку, особливо під час пошуку програмного забезпечення для штучного інтелекту або співпраці.