«Лаборатория Касперского» обнаружила новую вредоносную кампанию, в которой злоумышленники применяют искусственный интеллект для генерации поддельных веб-сайтов. Данные ресурсы убедительно имитируют легитимные лендинги популярных криптокошельков, защитных решений и менеджеров паролей, не являясь их точными копиями. Основной целью атакующих является распространение троянизированных сборок легального инструмента удалённого доступа Syncro. Пользователи могут столкнуться с этими ресурсами через поисковую выдачу или фишинговые рассылки.
Попав на поддельный сайт, потенциальная жертва видит сфабрикованное предупреждение о проблеме безопасности. Для её устранения пользователю предлагается загрузить специальное программное обеспечение, которое на деле является вредоносным. Если пользователь, доверяя имиджу бренда, скачивает и запускает предложенный файл, на его устройство устанавливается модифицированная версия Syncro. Этот легитимный инструмент, используемый специалистами техподдержки, в руках злоумышленников предоставляет им полный контроль над скомпрометированным устройством, включая возможность просмотра экрана, доступа к файлам и выполнения произвольных команд. Конечной задачей киберпреступников является кража ключей от криптовалютных кошельков, а география атак уже охватывает пользователей в Латинской Америке, Азиатско-Тихоокеанском регионе, Европе и Африке.
Как отмечает Владимир Гурский, эксперт по кибербезопасности в «Лаборатории Касперского», эта кампания наглядно демонстрирует изменение ландшафта киберугроз. Использование ИИ для потоковой генерации убедительных поддельных сайтов позволяет злоумышленникам эффективно масштабировать атаки. При этом в своих схемах мошенники продолжают эксплуатировать доверие пользователей к знакомым брендам и их готовность немедленно отреагировать на срочное предупреждение.
Решения «Лаборатории Касперского» детектируют подобные вредоносные сборки как HEUR:Backdoor.OLE2.RA-Based.gen. Для противодействия подобным угрозам критически важно сохранять бдительность при загрузке любого программного обеспечения, даже из казалось бы надёжных источников. Рекомендуется всегда проверять адреса посещаемых страниц перед загрузкой приложений или вводом личных данных, а также использовать надёжное защитное решение, способное своевременно распознать и блокировать угрозу, предотвращая переход на фишинговый ресурс или установку вредоносной программы.
