Uma sofisticada operação de cibersegurança foi desvendada recentemente, onde cibercriminosos se aproveitaram do crescente interesse global em Inteligência Artificial (IA) para disseminar uma série de ataques maliciosos. Hackers manipularam anúncios e páginas no Facebook, apresentando-se fraudulentamente como serviços renomados de IA, tais como MidJourney, SORA, e as supostas versões avançadas do ChatGPT-5 da OpenAI e DALL-E. Essa manobra astuta teve como alvo usuários ingênuos com malware perigoso, especificamente projetado para roubar senhas.
As táticas empregadas envolveram o sequestro de perfis do Facebook, transformando-os em páginas falsas desses serviços de IA, oferecendo uma “prévia” de funcionalidades inexistentes. Os usuários atraídos por esses anúncios foram conduzidos a se tornarem membros de comunidades fictícias, onde informações relacionadas à IA, aparentemente legítimas, eram compartilhadas para solidificar a credibilidade dessas páginas.
Porém, o propósito sinistro dessas comunidades era enganar os usuários para que baixassem arquivos executáveis maliciosos, disfarçados de novos serviços de IA, resultando na infecção de dispositivos Windows com programas nocivos, tais como Rilide, Vidar, IceRAT, e Nova. Esses malwares são especializados no roubo de uma vasta gama de informações pessoais, desde credenciais de acesso até dados de cartões de crédito, armazenados nos navegadores das vítimas.
Um caso particularmente alarmante foi o de uma página fraudulenta se passando pelo serviço MidJourney, que conseguiu acumular mais de 1,2 milhão de seguidores e permaneceu ativa por quase um ano. A página, que foi eventualmente desativada em 8 de março de 2024, não surgiu do nada. Originalmente, tratava-se de um perfil legítimo que foi sequestrado em junho de 2023 e transformado num veículo para a disseminação de malware.
As postagens dessa página frequentemente ludibriavam as pessoas, promovendo uma suposta versão desktop do MidJourney, ou anunciando o lançamento de uma versão V6 — uma atualização que, de fato, não existe. Em outros casos, os anúncios mal-intencionados ofereciam oportunidades de criar e monetizar arte NFT, um tema de grande apelo atual.
Os alvos dessas campanhas eram predominantemente homens, com idades entre 25 e 55 anos, espalhados por várias nações europeias, incluindo Alemanha, Polônia, Itália, e França, entre outras. Os operadores dessa campanha não se limitaram a plataformas convencionais de compartilhamento de arquivos, como Dropbox ou Google Drive; eles também criaram sites que imitavam com precisão a página oficial do MidJourney, convencendo as vítimas a baixar o que acreditavam ser a última versão da ferramenta, mas que, na verdade, tratava-se de malware.
A remoção da página falsa do MidJourney não marcou o fim da ameaça; uma nova página, com mais de 600 mil membros, já foi lançada, promovendo um site fraudulento que distribui malware semelhante. Esse episódio ressalta não apenas a criatividade dos cibercriminosos em explorar o fascínio do público por IA, mas também a necessidade de uma vigilância constante por parte dos usuários ao interagirem com anúncios online e a importância de mecanismos de segurança robustos nas plataformas de mídia social.
