AI成网络犯罪新工具：勒索软件与恶意软件伪造成安装程序肆虐

近日，思科Talos的安全研究人员揭露了三种利用假冒人工智能软件安装程序进行恶意攻击的威胁。这些犯罪分子精心打造了看似合法的网站，域名与实际人工智能供应商的名称仅相差一两个字母，极具迷惑性。在这些网站上，软件安装程序早已被恶意软件“下毒”，其中不乏臭名昭著的CyberLock勒索软件，以及一种前所未见的名为“Numero”的恶意软件，它能够对Windows机器造成毁灭性打击。

越南新威胁集团浮出水面，社交媒体成重灾区
Talos的研究并非孤例。本周早些时候，Mandiant也发布了一份类似报告，揭露了一个基于越南的新威胁集团。该集团通过在社交媒体平台上植入恶意广告，利用人们对人工智能视频生成器的浓厚兴趣，将用户引向虚假网站。这些网站不仅窃取用户的凭证，还试图盗取数字钱包，给用户带来巨大损失。

网络罪犯滥用AI之名，恶意软件泛滥成灾
“我们观察到，越来越多的网络犯罪分子开始滥用合法人工智能工具的名称进行恶意软件开发，或者使用虚假的安装程序来传播恶意软件。”Talos研究工程师技术负责人Chetan Raghuprasad在接受采访时表示。他警告说，这些犯罪分子正在分发各种各样的恶意软件，包括窃取者、后门、RAT（远程访问木马）、勒索软件和破坏性恶意软件。个人、小规模企业、初创公司以及其他成熟商业领域的用户都应该提高警惕，仔细评估下载并安装在机器上的人工智能工具的来源，以免成为此类威胁的牺牲品。

CyberLock勒索软件现身，虚假网站诱人上钩
在研究伪造的安装文件时，Raghuprasad的团队意外发现了CyberLock勒索软件。犯罪分子声称这些文件是合法的人工智能应用程序，并巧妙地利用了一个与真实域名novaleads.app极为相似的虚假网站novaleadsai[.]com进行传播。这个网站在谷歌搜索结果中名列前茅，专门针对那些寻找合法域名的用户。

“停止与B2B销售的斗争:我们可以帮助你在短短365天内产生480+合格的电话。”诈骗网站以醒目的字体宣称，并承诺免费使用基于人工智能的工具一年。然而，当用户点击“立即获取NovaLeads AI”按钮并下载ZIP存档文件时，却发现假冒的AI产品中隐藏着一个名为“NovaLeadsAI.exe”的.NET可执行文件，该文件一旦运行，就会加载基于PowerShell的CyberLock勒索软件。

CyberLock勒索软件运作细节曝光，数据泄露威胁成疑
CyberLock勒索软件的幕后黑手至今仍未被揭露。Talos的研究显示，该恶意软件至少从2月份开始运作，与欺诈网站的创建时间不谋而合。一旦运行，勒索软件就会将敏感的商业文档、个人信息和机密数据库作为攻击目标。除了加密受害者的文件外，CyberLock还能提升权限，并在需要时以管理权限重新执行。

加密完成后，攻击者会要求受害者以加密货币Monero支付5万美元的赎金，并指定使用onionmail[.]org这一允许在Tor网络上加密和访问电子邮件的组织地址进行联系。更令人震惊的是，勒索信还声称勒索的款项将用于资助巴勒斯坦、乌克兰、非洲和亚洲的人道主义援助工作。然而，Raghuprasad指出，这很可能只是宣传或心理操纵的手段，旨在减少反弹，为犯罪行为辩护。

Lucky_Gh0$t勒索软件变种现身，ChatGPT安装程序成诱饵
除了CyberLock外，Talos还发现了另一个伪装成AI的勒索软件安装程序。该程序旨在用一种名为Lucky_Gh0$t的勒索软件变种感染设备。这种勒索软件能够逃避反病毒检测和反恶意软件扫描程序，删除卷影副本和备份，并使用AES-256和RSA-2048加密来锁定受害者的文件。更狡猾的是，它将自己伪装成一个ChatGPT安装程序，文件名为“ChatGPT 4.0完整版- Premium.exe”，利用ChatGPT应用程序的广泛流行来诱骗用户上钩。

Numero恶意软件现身，Windows电脑陷入“死亡循环”
第三个AI诱饵诈骗则更加恶劣。它使用了一个以前未知的恶意软件，被Talos命名为“Numero”。该恶意软件模仿了一个名为InVideo AI的AI视频创建工具安装程序，包含一个恶意的Windows批处理文件、VB脚本和一个用C++编写的32位Windows可执行文件。一旦运行，它就会操纵受害者Windows操作系统的图形用户界面(GUI)组件，并无限循环地执行脚本，导致受害者的机器陷入“死亡循环”，无法正常使用。

专家警告：提高警惕，防范AI相关网络威胁
面对日益猖獗的AI相关网络威胁，专家们纷纷发出警告。他们提醒用户，在下载和安装人工智能软件时，一定要仔细甄别来源和真实性，避免点击不明链接或下载可疑文件。同时，企业和组织也应该加强网络安全防护，定期更新和升级安全软件，以应对不断变化的网络威胁。