Поддельные ИИ-инструменты и SEO-приемы: 8500 малых и средних предприятий стали жертвами растущей кампании по распространению вредоносного ПО

Эксперты по кибербезопасности обнаружили широкомасштабную кампанию, в которой используются SEO-отравления и поддельные сайты с программным обеспечением, чтобы заставить пользователей загружать вредоносное программное обеспечение, замаскированное под популярные инструменты искусственного интеллекта и повышения производительности.

Вредоносное программное обеспечение, распространяемое через подделки

По данным Arctic Wolf, злоумышленники продвигают троянизированные версии легального программного обеспечения, такого как PuTTY и WinSCP, через поддельные сайты, такие как puttyy[.]org и updaterputty[.]com. После загрузки эти инструменты устанавливают бэкдор, известный как Oyster (также называемый Broomstick), который поддерживает устойчивость с помощью запланированных задач и вредоносных DLL-файлов.

Другая часть кампании использует поисковые запросы, связанные с искусственным интеллектом, чтобы заманить пользователей на фишинговые страницы. Эти сайты предоставляют защищенные паролем ZIP-архивы, содержащие большие, на первый взгляд легальные установщики. После запуска они устанавливают вредоносное программное обеспечение для кражи данных, такое как Vidar и Lumma, используя AutoIt или пакетные скрипты, чтобы избежать обнаружения.

Похищение запросов технической поддержки

Злоумышленники также похищают запросы технической поддержки для таких брендов, как Apple и Netflix. Используя ввод параметров поиска, мошенники изменяют официальные страницы поддержки брендов, чтобы показывать поддельные номера телефонов, обманывая пользователей, чтобы они звонили непосредственно злоумышленникам.

MacOS также является мишенью

Вредоносное программное обеспечение, нацеленное на системы macOS, было обнаружено с помощью подобных тактик. Исследователи идентифицировали Poseidon Stealer и PayDay Loader, последний использует события Google Calendar и запутанный JavaScript для развертывания полезных нагрузок, таких как Lumma Stealer на Windows и модулях Node.js, для извлечения криптокошельков.

8500 пользователей малого и среднего бизнеса обманули всего за четыре месяца

Kaspersky сообщает, что с января по апрель 2025 года было атаковано более 8500 пользователей малого и среднего бизнеса. Вредоносное программное обеспечение, замаскированное под инструменты Zoom, Outlook, ChatGPT и Microsoft Office, было широко распространено. Файлы, связанные с Zoom, составляли 41% вредоносных вариантов, а количество подделок ChatGPT выросло на 115%.

Защитите себя: используйте только официальные источники

Исследователи в области безопасности призывают пользователей загружать инструменты только с официальных веб-сайтов поставщиков и избегать нажатия на спонсируемые объявления в результатах поиска, особенно при поиске программного обеспечения для искусственного интеллекта или сотрудничества.