• 發布單位:TWCERT/CC
• 更新日期:2024-06-05
• 點閱次數:4239

卡巴斯基研究人員發現新型惡意程式並命名為 Gipy，此惡意程通過釣魚網站提供 AI 語音應用程式來感染使用者電腦，進行資料竊取和安裝其他惡意程式, 研究人員發現攻擊多數來自透過 WordPress 架設的網站，並從 Github 下載受密碼保護的 zip 檔案解壓出惡意程式，主要受害地區包括德國、俄羅斯、西班牙和台灣。

隨著 AI 工具普及，更多攻擊者利用這些工具進行惡意活動，顯示犯罪市場對資料竊取工具的需求增加。卡巴斯基在近期的攻擊活動中觀察到，攻擊者會架設釣魚網站，內容是提供AI語音相關應用程式，當使用者從這些網站下載並執行就會中毒，而目前觀察到多數都是透過 WordPress 架設起來。

卡巴斯基研究人員指出，Gipy 惡意程式最早出現於 2023 年，當惡意程式被成功植入，可以竊取使用者電腦資料，並在受害者電腦上安裝其他惡意程式，當使用者執行下載的程式，會正常的執行AI語音相關應程式，並在使用者電腦後台隱性的執行 Gipy 惡意程式，受害者不容易發現。

研究人員發現當 Gipy 惡意程式執行的時候，會從 Github 啟動受密碼保護的 zip 檔案，從中解壓縮出惡意程式，在整個研究的過程中，卡巴斯基研究員目前分析到了 200 多個檔案，並在一封電子郵件裡對這些分析的檔案做一個整理：

• 資料竊取工具：Lumma、RedLine、RisePro 和 LOLI Stealer
• 虛擬貨幣挖擴程式：Apocalypse ClipBanker
• 木馬程式：DCRat 和 RADXRat
• 後門程式：TrueClient

卡巴斯基研究員表示隨著人工智慧工具的普及，越來越多攻擊者利用人工智慧工具作誘餌來進行惡意威脅活動，Gipy 惡意程式並無特別針對哪個目標國家進行攻擊，但目前最主要受影響的前 4大地區有德國、俄羅斯、西班牙、台灣。

卡巴斯基針對從網路下載檔案，提出相關的安全建議：

• 下載軟體務必從官網下載，而不是其他第三方平台下載
• 務必驗證網站的合法性，確保網址是 https 開頭，且憑證是合法的而非自簽憑證或過期的憑證
• 使用者電腦的帳號密碼務必啟用雙重驗證，並為每個帳戶使用獨立的密碼
• 警惕任何未知來源的電子郵件和可疑連結