Az OpenAI Sora-t kihasználó kiberfenyegetés

A támadók egyre gyakrabban használják ki az OpenAI Sora, egy fejlett videó generáló mesterséges intelligencia modell népszerűségét, hogy rosszindulatú szoftvereket terjesszenek. A támadás során egy “SoraAI.lnk” nevű, hitelesnek tűnő parancsikont használnak, amely a Sora márkajegyeit felhasználva próbálja megtéveszteni a felhasználókat, hogy elindítsanak egy több lépésből álló támadási láncot.

Megtévesztő taktikák és social engineering

Az első jelentések 2025. május 21-én jelentek meg a VirusTotal platformon, Vietnámból. Azóta a kampány több országban is elterjedt, bár az érintett felhasználók pontos száma nem ismert. Ez a támadás az AI-eszközökkel szembeni bizalom kihasználására épít, és egyre inkább az úgynevezett social engineering technikákra támaszkodik. A támadók megbízható platformokon, például a GitHubon tárolják a káros fájlokat, hogy elkerüljék a gyanút.

A Támadás lépései

  1. Parancsikon kattintása
    A felhasználó kétszer kattint a “SoraAI.lnk” parancsikonra, amely elindítja a cmd.exe-t egy előre meghatározott argumentummal, így valójában egy rejtett PowerShell folyamat indul el.
  2. Malware letöltése és folyamatos próbálkozás
    Ez a folyamat egy rosszindulatú batch fájlt, az “a.bat”-ot tölti le egy GitHub tárolóból a célgép temp mappájába, majd folytatja a rosszindulatú fájlok letöltését, biztosítva, hogy még akkor is működjön, ha az első kísérletek sikertelenek.
  3. További batch fájlok és python csomagok
    A támadás következő lépéseiben az “f.bat” és az “1.bat” fájlok indítanak el további Python csomagokat (pl. requests, pywin32, cryptography), amelyek lehetővé teszik a “python.py” futtatását. Ez a Python script beállítja a perzisztenciát úgy, hogy a startup mappába másolja magát.

Adatok ellopása

  • Böngésző információk: A malware hozzáférést nyer a Chrome, Firefox és Opera böngészők mentett jelszavaihoz, sütikhez és profilokhoz, amelyek egy speciálisan kifejlesztett “chrome_decrypt.dll” segítségével kerülnek visszafejtésre.
  • Rendszerinformációk és Wi-Fi adatok: A rendszer információi és a Wi-Fi jelszavak a netsh eszközzel kerülnek kinyerésre.
  • Kriptovaluta és játékplatformok: A támadás a kriptovaluta pénztárcák adatait és a Steam, Epic Games konfigurációs fájljait is ellopja.

A begyűjtött adatokat egy zip fájlba tömörítve, a felhasználó országának és IP címének megfelelően elnevezve, a Telegram bot API-ján keresztül küldik el a támadóknak.

Titkosítás és törlés

Ha a fájlok mérete meghaladja az 49 MB-ot, a malware a GoFile.io külső szolgáltatásra tölti fel őket, és értesíti a támadókat a Telegramon. Ezenkívül a fertőzött gépen minden helyi nyomot eltávolít, hogy elrejtőzzön.

A támadás kiterjedése

A támadás célba veszi a gyakori fájlformátumokat (.pdf, .jpg, .txt), és a kritikus mappákban, például a Letöltések és Dokumentumok mappákban található fájlokat is begyűjti. Ezáltal a potenciális károk széles spektrumra terjedhetnek, beleértve az identitás lopást és további kihasználási módokat.

Javaslat

A digitális környezet folyamatosan változik, és a legfontosabb, hogy a felhasználók tisztában legyenek a kiberfenyegetésekkel. Az ilyen típusú rosszindulatú programok által okozott károk gyakran visszafordíthatatlanok, ezért javasolt az ismeretlen eredetű fájlok letöltésének és futtatásának mellőzése.

Kompromittálódott fájlok és hash

Fájl neve Hash
SoraAI.lnk D4B1F86B0D722935BDA299D37F7A2663
a.bat 8358AF316ACDFD449D9E9F78FFC57500
f.bat 596C75805BE5AD3B44A0AAFA9E94DFC2
1.bat BE13272715927422332A14DBFE32CFF7
python.py 9BABDE0DD32C1AB24EFB2C4D25BD0B10
chrome_decrypt.dll ED38E7C7E54B87841BDB013203EBF01B
GitHub URL hxxp://github.com/ArimaTheH/a/raw/refs/heads/main/f.zip

Ez a több lépésből álló támadási lánc rávilágít a digitális biztonság fontosságára, és arra, hogy a felhasználóknak mindig ébernek kell lenniük a potenciális fenyegetésekkel szemben.

(gbhackers)