Valse AI-software blijkt een van de nieuwe manieren waarmee criminele groepen hun malware verspreiden, dat zegt de onderzoeksgroep Cisco Talos.
De groep vond in haar onderzoek drie van deze dreigingen. Telkens gebruiken ze websites met domeinnamen die gelijkaardig zijn aan die van echte AI-ontwikkelaars. De installatiebestanden van de software bevat echter malware, waaronder Cyberlock ransomware en een nieuwe malware genaamd ‘Numero’, die Windows-machines schade toebrengt.
Zoals dat gaat met computermisdaad springen de criminelen in kwestie duidelijk op een trend, waarbij bedrijven en gebruikers gaan experimenteren met AI-software. Eerder rapporteerde ook Mandiant, de securitytak van Google, over een campagne van phishers die via valse AI-websites proberen logins en andere data te verzamelen.
‘We denken dat cybercriminelen steeds vaker de namen van legitime AI-tools gebruiken om hun malware of valse installatiebestanden voor die malware te verspreiden,’ zegt Talos onderzoeksingenieur Chetan Raghuprasad aan techblad The Register.
Malware en ransomware
Een aantal verschillende malwares worden op deze manier verspreid. Een daarvan is CyberLock, een wat oudere ransomware die terug lijkt van nooit helemaal weggeweest. CyberLock kan zichzelf onder meer extra (admin)rechten geven op een computer en zo heel wat schade aanrichten.
Een andere malware die Talos vond is wel nieuw. De zogeheten Numero doet zich voor als een installatiebestand voor een AI video generator genaamd InVideo AI. Numero bevat een kwaadaardig Windows batch file dat de machine in een ‘loop’ kan brengen tot het onbruikbaar wordt.