EraDev
Ghoster-Xكيف يقوم الهاكر اختراقك عبر مواقع الذكاء الاصطناعي AI ؟
مقدمة
تزداد شعبيه ادوات الذكاء الاصطناعي كل يوم لتسهيل المهام علي المستخدمين لذلك فقد اجتذب ايضا المخترقين الذين يستخدمون حيل الهندسه الاجتماعيه المختلفه لجذب الضحايا المحتملين في الاونه الاخيره لو لاحظت حمله اعلانيه خبيثه المتخفيه كأدوات الذكاء الاصطناعي
وتسئ استخدام محرك بحث Google لدفع برامج الفديه الخبيثه المتخفيه كأدوات الذكاء الاصطناعي مثل Chat-GPT and Midjourney ( و اذا كنت لا تعرف ما هي برامج الفديه فتابع المقالات السابقه او ابحث عنها في بحث ROOT-X ستجد كل المعلومات عنها )
الإساءة إلى Midjourney عن طريق البحث المسموم (poisoned search)
باحثو شركه trendmicro (هي شركة يابانية متعددة الجنسيات لبرامج الأمان عبر الإنترنت) كشفوا عن تفاصيل حول الحملات الاعلانيه الخبيثه المستمره للإعلان عن Midjourney و (Midjourney) هي أداة قائمة على الذكاء الاصطناعي تقوم بإنشاء الصور باستخدام الإرشادات المقدمة بلغة طبيعية.
تعرض الحملة نتائج البحث المسمومة بـ SEO للكلمة الرئيسية التي من شأنها إعادة توجيه المستخدمين إلى مواقع الويب الضارة لتنزيل Redline Stealer في النهاية
البرامج الضاره Redline Stealer :
وهو برنامج ضار قادر على استخراج كلمات مرور المتصفح ، يدير البرنامج الضار استخراج كلمات مرور المتصفح التي تشير إلى قاعدة بيانات SQL حيث يتم تخزينها. بالإضافة إلى ذلك ، تحتفظ قواعد البيانات هذه بملفات تعريف الارتباط والسجلات للاستعلامات وتسجيلات الدخول , حتى إذا قررت عدم حفظ كلمات المرور الخاصة بك في مدير كلمات المرور بالمتصفح الخاص بك ، فيمكنهم الحصول على بعض المعلومات القيمة من خلال هذه البرامج الضارة.
المراحل التي يمر بها المستخدم عند البحث ؟
عند النقر على الإعلانات ، يتم إرسال عنوان IP الخاص بالمستخدم إلى خادم الخلفية. إذا كان عنوان IP ينتمي إلى بعض برامج الزحف على الويب أو إذا كان المستخدم يزور عنوان URL عن طريق كتابته يدويًا ، فسيتم عرض إصدار غير ضار من النطاق لتجنب اكتشافه، ومع ذلك ، إذا كان المستخدم يأتي من خلال الإعلانات الضارة ، فسيتم تقديم ملف خبيث قابل للتنفيذ يتنكر في شكل إصدار سطح المكتب من Midjourney للزائر.
من المهم ملاحظة أن أداة Midjourney الأصلية متاحة فقط عبر إصدار الويب.
ما الذي يحدث بعد الاصابه ؟
عندما يتم تنفيذ برنامج التثبيت الضار (Midjourney-x64.msix) ، فإنه يعرض نافذة تثبيت وهمية. وفي الوقت نفسه ، يعمل نص PowerShell خبيث (frank_obfus.ps1) في الخلفية.
يقوم هذا النص بتنزيل الحمولة الفعلية - Redline stealer - من الخادم (openaijobs [.] ru) وينفذها على الجهاز المصاب.
يتابع Redline stealer سرقة البيانات الحساسة بما في ذلك بيانات الاعتماد وملفات تعريف الارتباط على الويب ومعلومات الملفات وبيانات محفظة العملة المشفرة.
ماذا تفعل لتجنب الاكتشاف؟
تستخدم الحملة واجهة برمجة تطبيقات Telegram لاتصالات C2 الخاصة بها. يمزج هذا الأسلوب بين حركة المرور الضارة وحركة المرور العادية.
علاوة على ذلك ، تستخدم بعض أشكال الحملة الضارة صفحات الويب ChatGPT و Dall-E المزيفة.
الختام
يحاول المهاجمون بشكل متزايد الاستفادة من اهتمام المستخدمين بالأدوات القائمة على الذكاء الاصطناعي ، مثل Midjourney و ChatGPT. من المهم للغاية توخي الحذر بشأن الطرق الحقيقية لاستخدام هذه الأدوات. يُقترح على المستخدمين تجنب الوقوع في الإعلانات المشبوهة وتجنب تنزيل أي برامج من مصادر غير رسمية.
