針對 AI 語音生成工具的新型惡意程式 Gipy
- 發布單位:TWCERT/CC
- 更新日期:2024-06-05
- 點閱次數:8094
卡巴斯基研究人員發現新型惡意程式並命名為 Gipy,此惡意程通過釣魚網站提供 AI 語音應用程式來感染使用者電腦,進行資料竊取和安裝其他惡意程式, 研究人員發現攻擊多數來自透過 WordPress 架設的網站,並從 Github 下載受密碼保護的 zip 檔案解壓出惡意程式,主要受害地區包括德國、俄羅斯、西班牙和台灣。
隨著 AI 工具普及,更多攻擊者利用這些工具進行惡意活動,顯示犯罪市場對資料竊取工具的需求增加。卡巴斯基在近期的攻擊活動中觀察到,攻擊者會架設釣魚網站,內容是提供AI語音相關應用程式,當使用者從這些網站下載並執行就會中毒,而目前觀察到多數都是透過 WordPress 架設起來。
卡巴斯基研究人員指出,Gipy 惡意程式最早出現於 2023 年,當惡意程式被成功植入,可以竊取使用者電腦資料,並在受害者電腦上安裝其他惡意程式,當使用者執行下載的程式,會正常的執行AI語音相關應程式,並在使用者電腦後台隱性的執行 Gipy 惡意程式,受害者不容易發現。
研究人員發現當 Gipy 惡意程式執行的時候,會從 Github 啟動受密碼保護的 zip 檔案,從中解壓縮出惡意程式,在整個研究的過程中,卡巴斯基研究員目前分析到了 200 多個檔案,並在一封電子郵件裡對這些分析的檔案做一個整理:
- 資料竊取工具:Lumma、RedLine、RisePro 和 LOLI Stealer
- 虛擬貨幣挖擴程式:Apocalypse ClipBanker
- 木馬程式:DCRat 和 RADXRat
- 後門程式:TrueClient
卡巴斯基研究員表示隨著人工智慧工具的普及,越來越多攻擊者利用人工智慧工具作誘餌來進行惡意威脅活動,Gipy 惡意程式並無特別針對哪個目標國家進行攻擊,但目前最主要受影響的前 4大地區有德國、俄羅斯、西班牙、台灣。
卡巴斯基針對從網路下載檔案,提出相關的安全建議:
- 下載軟體務必從官網下載,而不是其他第三方平台下載
- 務必驗證網站的合法性,確保網址是 https 開頭,且憑證是合法的而非自簽憑證或過期的憑證
- 使用者電腦的帳號密碼務必啟用雙重驗證,並為每個帳戶使用獨立的密碼
- 警惕任何未知來源的電子郵件和可疑連結