Cibercriminosos utilizam instaladores falsos de ferramentas de IA para disseminar malwares

Segundo um relatório da Cisco Talos, as versões legítimas dessas soluções são amplamente utilizadas nos setores de marketing e vendas B2B, o que indica que profissionais e empresas dessas áreas são os principais alvos da campanha.

Um dos exemplos é um site que imita a plataforma legítima NovaLeads, voltada à monetização de leads. A página falsa pode estar sendo promovida por meio de técnicas de envenenamento de SEO, com o objetivo de melhorar artificialmente seu posicionamento nos mecanismos de busca.

Ao acessar o site, o usuário é induzido a baixar a suposta ferramenta — que, na verdade, entrega um arquivo ZIP com um executável em .NET. Esse arquivo atua como carregador do ransomware CyberLock, projetado para criptografar arquivos específicos no sistema da vítima.

Outras variantes incluem o Lucky_Gh0$t, disfarçado como uma versão premium do ChatGPT. Esse malware criptografa arquivos com menos de 1,2 GB e, antes disso, apaga cópias de sombra e backups do sistema, dificultando a recuperação dos dados. Já o Numero, embutido em um instalador falso do InVideo AI, compromete os dispositivos ao manipular componentes da interface gráfica do Windows, tornando o sistema inutilizável.