Malwarebytesは11月19日(米国時間)、「Free AI editor lures in victims, installs information stealer instead on Windows and Mac|Malwarebytes」において、SNSを悪用して情報窃取マルウェアを配布する大規模なサイバー攻撃について注意を喚起した。

攻撃者は、AIビデオ編集アプリを無料で提供することで、Windowsユーザーにマルウェア「Lumma Stealer」を、Macユーザーにマルウェア「Atomic Stealer」を配布したとされる。

  • Free AI editor lures in victims、installs information stealer instead on Windows and Mac|Malwarebytes

    Free AI editor lures in victims, installs information stealer instead on Windows and Mac|Malwarebytes

サイバー攻撃の概要

この攻撃ではAIビデオ編集アプリ「EditProAI」として情報窃取マルウェアが配布された。この偽アプリはX、Facebook、YouTubeなど複数のSNSプラットフォームから拡散し、組織的かつ正当にみえる宣伝手法だったことからセキュリティ研究者による発見が遅れたという。

  • 偽アプリを宣伝するXへの投稿 - 引用:Malwarebytes

    偽アプリを宣伝するXへの投稿 引用:Malwarebytes

偽アプリの配布サイトに不自然な点はなく、正常な製品をイメージする作りになっている。しかしながら、「GET NOW(今すぐ取得)」ボタンをクリックすると、AIビデオ編集アプリではなく情報窃取マルウェアがダウンロードされる。

ファイル名はWindowsの場合「Edit-ProAI-Setup-newest_release.exe」、Macの場合は「EditProAi_v.4.36.dmg」とされる。インストールするためにこれらファイルを実行するとマルウェアに感染する。

  • 偽アプリの配布サイト - 引用:Bleeping Computer

    偽アプリの配布サイト - 引用:Bleeping Computer

対策

Malwarebytesはこれらマルウェアに感染した可能性があるユーザーに対し、次の対策を推奨している。

  • 認証情報を窃取された可能性がある。金融機関や暗号資産関連のアカウント侵害に注意する
  • 重要なアカウントから順番にパスワードを変更する。このときパスワードマネージャーを使用して強力かつ一意なパスワードを設定する
  • すべての重要なアカウントの認証に、多要素認証(MFA: Multi-Factor Authentication)を使用する
  • すべての重要なアカウントからログアウトする。攻撃者はWebブラウザからCookie情報を窃取してセッションを乗っ取る可能性がある。この手法による攻撃はログアウトすることで防止できる