A támadók egyre gyakrabban használják ki az OpenAI Sora, egy fejlett videó generáló mesterséges intelligencia modell népszerűségét, hogy rosszindulatú szoftvereket terjesszenek. A támadás során egy “SoraAI.lnk” nevű, hitelesnek tűnő parancsikont használnak, amely a Sora márkajegyeit felhasználva próbálja megtéveszteni a felhasználókat, hogy elindítsanak egy több lépésből álló támadási láncot.
Megtévesztő taktikák és social engineering
Az első jelentések 2025. május 21-én jelentek meg a VirusTotal platformon, Vietnámból. Azóta a kampány több országban is elterjedt, bár az érintett felhasználók pontos száma nem ismert. Ez a támadás az AI-eszközökkel szembeni bizalom kihasználására épít, és egyre inkább az úgynevezett social engineering technikákra támaszkodik. A támadók megbízható platformokon, például a GitHubon tárolják a káros fájlokat, hogy elkerüljék a gyanút.
A Támadás lépései
- Parancsikon kattintása
A felhasználó kétszer kattint a “SoraAI.lnk” parancsikonra, amely elindítja a cmd.exe-t egy előre meghatározott argumentummal, így valójában egy rejtett PowerShell folyamat indul el. - Malware letöltése és folyamatos próbálkozás
Ez a folyamat egy rosszindulatú batch fájlt, az “a.bat”-ot tölti le egy GitHub tárolóból a célgép temp mappájába, majd folytatja a rosszindulatú fájlok letöltését, biztosítva, hogy még akkor is működjön, ha az első kísérletek sikertelenek. - További batch fájlok és python csomagok
A támadás következő lépéseiben az “f.bat” és az “1.bat” fájlok indítanak el további Python csomagokat (pl. requests, pywin32, cryptography), amelyek lehetővé teszik a “python.py” futtatását. Ez a Python script beállítja a perzisztenciát úgy, hogy a startup mappába másolja magát.
Adatok ellopása
- Böngésző információk: A malware hozzáférést nyer a Chrome, Firefox és Opera böngészők mentett jelszavaihoz, sütikhez és profilokhoz, amelyek egy speciálisan kifejlesztett “chrome_decrypt.dll” segítségével kerülnek visszafejtésre.
- Rendszerinformációk és Wi-Fi adatok: A rendszer információi és a Wi-Fi jelszavak a netsh eszközzel kerülnek kinyerésre.
- Kriptovaluta és játékplatformok: A támadás a kriptovaluta pénztárcák adatait és a Steam, Epic Games konfigurációs fájljait is ellopja.
A begyűjtött adatokat egy zip fájlba tömörítve, a felhasználó országának és IP címének megfelelően elnevezve, a Telegram bot API-ján keresztül küldik el a támadóknak.
Titkosítás és törlés
Ha a fájlok mérete meghaladja az 49 MB-ot, a malware a GoFile.io külső szolgáltatásra tölti fel őket, és értesíti a támadókat a Telegramon. Ezenkívül a fertőzött gépen minden helyi nyomot eltávolít, hogy elrejtőzzön.
A támadás kiterjedése
A támadás célba veszi a gyakori fájlformátumokat (.pdf, .jpg, .txt), és a kritikus mappákban, például a Letöltések és Dokumentumok mappákban található fájlokat is begyűjti. Ezáltal a potenciális károk széles spektrumra terjedhetnek, beleértve az identitás lopást és további kihasználási módokat.
Javaslat
A digitális környezet folyamatosan változik, és a legfontosabb, hogy a felhasználók tisztában legyenek a kiberfenyegetésekkel. Az ilyen típusú rosszindulatú programok által okozott károk gyakran visszafordíthatatlanok, ezért javasolt az ismeretlen eredetű fájlok letöltésének és futtatásának mellőzése.
Kompromittálódott fájlok és hash
| Fájl neve | Hash |
| SoraAI.lnk | D4B1F86B0D722935BDA299D37F7A2663 |
| a.bat | 8358AF316ACDFD449D9E9F78FFC57500 |
| f.bat | 596C75805BE5AD3B44A0AAFA9E94DFC2 |
| 1.bat | BE13272715927422332A14DBFE32CFF7 |
| python.py | 9BABDE0DD32C1AB24EFB2C4D25BD0B10 |
| chrome_decrypt.dll | ED38E7C7E54B87841BDB013203EBF01B |
| GitHub URL | hxxp://github.com/ArimaTheH/a/raw/refs/heads/main/f.zip |
Ez a több lépésből álló támadási lánc rávilágít a digitális biztonság fontosságára, és arra, hogy a felhasználóknak mindig ébernek kell lenniük a potenciális fenyegetésekkel szemben.