ESET analiza una campaña que busca aprovechar el interés por la creación de videos con Inteligencia Artificial para infectar a sus víctimas con un software que permite el acceso remoto a sus dispositivos.
Recientemente, ESET identificó un sitio falso de CapCut mediante el cual, supuestamente, se podrían crear videos utilizando la IA. Lo cierto es que luego de ingresar el prompt para la creación del video, el sitio simula un proceso y luego ofrece descargar el resultado. Al hacerlo, lo que en realidad descarga es un troyano. Este caso no es aislado, ya que forma parte de una campaña más amplia en la que también se han identificado sitios falsos que suplantan la identidad de otras marcas como Adobe o Canva.
A continuación, ESET comparte los detalles de este caso que sirve como paradigma para entender como la IA está siendo utilizada como señuelo por los cibercriminales:
El ejemplo, reportado por el usuario de X g0njxa, se centra en el sitio falso “capcutproia”, el cual simula ser una herramienta para crear videos con la ayuda de la Inteligencia Artificial. Al ingresar, se presenta una web muy similar al sitio oficial.
Pie de imagen: Sitio falso que simula ser de Capcut
Una vez dentro, el paso siguiente que ofrece el sitio es escribir un prompt o bien subir una imagen de referencia para crear el video deseado. El sitio simula que procesa el pedido.
Pie de imagen: El sitio falso simula estar procesando el pedido de la víctima.
Una vez que termina de procesar el pedido, ofrece descargar el resultado. Al hacer clic en la descarga, se obtiene un archivo llamado “creation_made_by_capcut.mp4 – Capcut.com”.
Pie de imagen: Momento en que el sitio falso sugiere descargar el supuesto video.
“Es importante marcar que el archivo que se obtiene de la descarga es un troyano. Es decir, un archivo que dice ser algo que en realidad no es. En este caso puntual el archivo que se presenta como el video generado en realidad descarga una herramienta que permite a un tercero conectarse remotamente en el equipo del usuario. ESET detecta el archivo que se descarga como Win32/RemoteAdmin.ConnectWiseControl.E. Puntualmente en Latinoamérica no se evidenciaron detecciones, pero sí en países como República Checa y Sri Lanka.”, comenta Camilo Gutierrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Con respecto a la herramienta que descarga el archivo en el equipo de la víctima, se trata de un instalador de una herramienta simil Teamviewer. Si bien algunas soluciones de seguridad pueden detectar este archivo como una PUA, es decir, un archivo potencialmente malicioso porque se trata de una herramienta legítima, está claro que en el contexto que se descarga el archivo la intención es maliciosa.
“La mayoría de las aplicaciones de control remoto cuentan con la opción de generar un ejecutable preconfigurado para conectarse con una IP o usuario específico, lo cual es útil para la asistencia virtual, pero también para los atacantes. Así, basta con que la víctima abra el archivo, y en dos o tres clicks le dará el control de su equipo al cibercriminal sin saberlo”, advierte Martina López, Investigadora del equipo de Laboratorio de ESET Latinoamérica.
Además de este sitio falso que se hace pasar por CapCut, el o las personas responsables detrás de esta campaña maliciosa también están creando sitios similares que se hacen pasar por herramientas para crear contenido con IA simulando ser de marcas como Canva o Adobe, entre otras. Así lo reportó la empresa Silent Push: a través de X que confirma la existencia de al menos 13 sitios similares. Todos con el mismo comportamiento: hacer creer a las potenciales víctimas que descargan un archivo generado con la herramienta pero en realidad descargan una herramienta que permite el acceso remoto a la máquina del usuario.
Ejemplo de otros sitios de phishing similares:
Las campañas que involucran a sitios falsos con el objetivo de obtener información sensible o dinero de sus víctimas son muy comunes. Desde ESET recomiendan incorporar buenos hábitos para saber identificar cuándo se trata de un sitio legítimo, y cuándo no:
1. Siempre verificar que la URL sea legítima y correcta antes de acceder o ingresar datos.
2. Evitar descargas innecesarias en herramientas que funcionan desde la web.
3. Implementar una solución de seguridad, a fin de analizar los archivos descargados antes de ejecutarlos.
4. Estar al día con las novedades y consultar fuentes confiables para conocer las campañas activas y sus posibles riesgos.