Trong thời gian gần đây, các phần mềm giả mạo công nghệ AI đang tràn lan trên mạng, đặc biệt là những phần mềm tạo video và hình ảnh. Những phần mềm này không chỉ đánh lừa người dùng mà còn ẩn chứa nhiều nguy cơ, khi chúng được làm ra để lây nhiễm virus Lumma Stealer và AMOS, cả hai đều nhắm vào các thiết bị Windows và macOS. Những loại mã độc này đã được thiết kế để ăn cắp thông tin nhạy cảm như tài khoản đăng nhập, ví tiền điện tử và các loại cookie từ trình duyệt web như Google Chrome, Microsoft Edge và Mozilla Firefox.
Theo như thông tin từ nhà nghiên cứu bảo mật g0njxa, thời gian qua, những kẻ tấn công đã tạo ra những website giả mạo, mạo danh một phần mềm chỉnh sửa video và hình ảnh có tên EditPro. Những trang web này được quảng cáo trên các kết quả tìm kiếm và mạng xã hội với những video deepfake chính trị nổi bật, chẳng hạn như video tổng thống Biden và Trump cùng nhau ăn kem, nhằm thu hút người dùng. Khi người dùng nhấn vào những hình ảnh này, họ sẽ được dẫn đến các trang web giả mạo ứng dụng EditProAI, với editproai[.]pro chuyên đẩy mã độc cho Windows và editproai[.]org cho macOS.
Những trang web này được thiết kế rất chuyên nghiệp để trông có vẻ hợp pháp, thậm chí còn sử dụng những biểu ngữ cookie phổ biến để tạo độ tin cậy. Tuy nhiên, nếu người dùng nhấn vào các liên kết “Get Now”, họ sẽ tải xuống một tệp thực thi giả mạo EditProAI. Đối với người dùng Windows, tệp này có tên “Edit-ProAI-Setup-newest_release.exe” và đối với macOS, tên của tệp là “EditProAi_v.4.36.dmg”.
Mã độc trên Windows đã được ký bởi một chứng chỉ mã hóa mà có vẻ như là đã bị đánh cắp từ nhà phát triển công cụ miễn phí Softwareok.com. G0njxa cũng cho biết, mã độc này sử dụng một bảng điều khiển tại “proai[.]club/panelgood/” để gửi dữ liệu bị đánh cắp, và thông tin này có thể được thu hồi bởi kẻ tấn công sau đó.
Một báo cáo từ AnyRun cho thấy quá trình hoạt động của biến thể Windows, khi dịch vụ sandbox đã nhận diện mã độc này là Lumma Stealer. Nếu bạn đã tải xuống phần mềm này trước đây, hãy coi chừng, mọi tài khoản đăng nhập và ví điện tử của bạn có thể đã bị xâm phạm. Bạn cần ngay lập tức thay đổi mật khẩu cho tất cả các tài khoản và dịch vụ mà bạn sử dụng, cùng với việc kích hoạt xác thực hai yếu tố cho những tài khoản nhạy cảm, như sàn giao dịch tiền điện tử, ngân hàng trực tuyến và các dịch vụ tài chính khác.
Mã độc chuyên ăn cắp thông tin đã gia tăng đáng kể trong những năm gần đây, với nhiều chiến dịch quy mô lớn diễn ra nhằm đánh cắp thông tin đăng nhập của người dùng. Những kẻ tấn công không ngừng cải tiến thủ đoạn của mình, từ việc sử dụng lỗi bảo mật zero-day, cho đến việc đưa ra những giải pháp giả mạo trên GitHub và thậm chí là những câu trả lời giả mạo trên các diễn đàn như StackOverflow. Những thông tin đăng nhập bị đánh cắp sau đó sẽ được sử dụng để xâm nhập vào các mạng lưới công ty, thực hiện các cuộc tấn công ăn cắp dữ liệu tương tự như những vụ xâm nhập tài khoản lớn trong quá khứ.
Đứng trước những mối đe dọa này, người dùng cần nâng cao cảnh giác và có những biện pháp bảo mật thích hợp để bảo vệ thông tin cá nhân của mình.