一个名为 Void Arachne 的新威胁行为者组织正在针对中文用户开展恶意软件活动。该组织正在分发与 AI 工具、中文语言包和虚拟专用网络 (VPN) 客户端等合法软件捆绑在一起的恶意 MSI 安装程序文件。
在安装过程中,这些文件还会秘密安装 Winos 4.0 后门,该后门可以完全破坏系统。
虚空蜘蛛战术
趋势科技的研究人员发现,Void Arachne 组织采用多种技术来分发恶意安装程序,包括搜索引擎优化 (SEO) 投毒和在中文 Telegram 频道上发布链接。
- SEO 投毒:该组织建立网站,伪装成合法的软件下载网站。通过 SEO 投毒,他们让这些网站在搜索引擎中针对常用中文软件关键词排名靠前。这些网站托管 MSI 安装程序文件,其中包含与 Chrome、语言包和 VPN 等软件捆绑在一起的 Winos恶意软件。受害者无意中感染了 Winos,而他们认为自己只是在安装目标软件。
- 针对 VPN:Void Arachne 经常在安装程序和 Telegram 帖子中针对中国VPN软件。利用对 VPN 的兴趣是一种有效的感染策略。
- Telegram 频道:除了 SEO 投毒外,Void Arachne 还在专注于中文和 VPN 主题的 Telegram 频道中分享了恶意安装程序。拥有数万用户的频道将带有受感染语言包和 AI 软件安装程序的帖子置顶,从而增加了曝光率。
- 深度伪造色情内容:令人担忧的发现是,一个推广裸体应用程序的团体生成了未经同意的深度伪造色情内容。他们宣传能够脱光同学和同事的照片,鼓励骚扰和性勒索。受感染的裸体安装程序被固定在他们的 Telegram 频道中。
- 人脸/语音交换应用程序:Void Arachne 还宣传了语音转换和人脸交换应用程序,这些应用程序可用于虚拟绑架等欺骗活动。攻击者可以使用这些应用程序冒充受害者并向其家人施压索要赎金。与 nudifiers 一样,受感染的语音/人脸交换器安装程序在 Telegram 上广泛分享。
Winos 4.0 C&C框架
该活动背后的威胁行为者最终的目标是在受感染的系统上安装 Winos 后门。Winos 是一个用 C++ 编写的复杂 Windows后门,可以完全接管受感染的机器。
初始感染始于一个阶段模块,该模块解密恶意软件配置并下载主要的 Winos 负载。活动操作涉及使用生成的会话密钥和滚动 XOR 算法的加密 C&C 通信。然后,阶段模块将完整的 Winos 模块存储在 Windows 注册表中并执行 shellcode 以在受影响的系统上启动它。
来源:trendmicro.com
Winos 具有远程访问、键盘记录、网络摄像头控制、麦克风录制和分布式拒绝服务 (DDoS) 功能。它还执行系统侦察,如注册表检查、文件搜索和进程注入。该恶意软件连接到命令和控制服务器以接收扩展功能的更多模块/插件。
据观察,这些外部插件中有几个提供的功能,包括收集 Chrome 和 QQ 等程序已保存的密码、删除防病毒软件以及附加到启动文件夹。
人工智能滥用和深度伪造的担忧趋势
Void Arachne 通过使用 SEO 中毒、Telegram 频道、AI 深度伪造和语音/面部交换应用程序展示了技术的复杂性和有效感染策略的知识。
在 Void Arachne 活动中观察到的一个特别令人担忧的趋势是,使用人工智能制作非自愿深度伪造色情内容的裸体应用程序大量涌现。这些图像和视频经常被用于性勒索计划,以进一步虐待、骚扰受害者和获取经济利益。一则宣传使用裸体人工智能的消息的英文翻译使用了“同学”一词,暗示其中一个目标市场是未成年人:
适当娱乐,满足自己的情欲就好,千万不要发给对方,更不要骚扰对方,一旦报警,麻烦不断!AI脱衣服,你给我照片,我给你拍照。你想看你向往的女同学,你暗恋的女同事,你在家里吃住行的亲朋好友吗?你想看他们裸体吗?现在你就可以实现你的梦想了,为了一包烟钱,就能看他们裸体情欲。
来源:trendmicro.com
此外,威胁者还宣传可用于虚拟绑架的人工智能技术,这是一种新颖的欺骗活动,利用人工智能语音替换技术向受害者施压,迫使他们支付赎金。利用这项技术制作深度伪造裸照和虚拟绑架是人工智能滥用危险的最新例子。
发表评论
您还未登录,请先登录。
登录