Un grupo de ciberdelincuentes vinculado a Vietnam está utilizando páginas web falsas que imitan a conocidas herramientas de inteligencia artificial (IA) generativa para distribuir malware con los que robaban datos personales de los usuarios, según una investigación de Mandiant, una empresa de ciberseguridad que forma parte de Google Cloud.
- Solo en la Unión Europea se han identificado más de 120 anuncios vinculados a esta campaña, con un alcance estimado de 2,3 millones de usuarios, según la compañía.
Estas webs se anuncian en redes sociales como Facebook y LinkedIn con nombres como Luma AI, Canva Dream Lab o Kling AI, y suplantan generadores de vídeo con IA, aprovechando la popularidad de estas herramientas.
- ¿Cómo funciona? Cuando el usuario accede al sitio, se simula una interfaz de generación de video mediante IA. Al escribir una instrucción para crear el vídeo (el prompt), se descarga un archivo que parece ser el vídeo generado pero, en realidad, contiene un programa malicioso. Esta descarga se camufla como un archivo .mp4, como el de los vídeos, y oculta su verdadera extensión .exe con caracteres invisibles, según el análisis de Mandiant.
Una vez instalado, el malware descarga varios programas diseñados para robar contraseñas, datos bancarios o acceder a wallets de criptomonedas y enviar la información a través de la API de Telegram. Los dominios usados son de corta duración y se actualizan para esquivar los sistemas de detección de plataformas como Meta, que comenzó a eliminarlos en 2024.
- Cómo evitarlo. El informe destaca que las webs maliciosas analizadas no requieren registro ni inicio de sesión, y en cambio ofrecen una descarga directa del archivo, sin mostrar antes el vídeo o una previsualización del resultado en el navegador, como sí hacen las herramientas auténticas. Mandiant recomienda verificar siempre el dominio de la web, evitar las descargas automáticas de archivos y comprobar que los archivos tengan la extensión correcta.
0 Comentarios