Fake AI Video menginfeksi Windows dan macOS dengan malware pencuri informasi Lumma Stealer dan AMOS, digunakan untuk mencuri kredensial dan dompet kripto dari perangkat yang terinfeksi. Lumma Stealer adalah malware Windows dan AMOS adalah untuk macOS, namun keduanya mencuri crypto wallet, cookies, kredensial, kata sandi, kartu kredit, dan riwayat penjelajahan dari Google Chrome, Microsoft Edge, Mozilla Firefox, browser Chromium dll. Data dikumpulkan, diarsipkan dan dikirim kembali ke penyerang, di mana mereka dapat menggunakan informasi tersebut dalam serangan lanjutan atau menjualnya di Black Market. Dalam sebulan terakhir, pelaku ancaman telah membuat situs web palsu yang mengaku sebagai editor video dan gambar AI bernama EditPro. Situs-situs tersebut dipromosikan melalui hasil pencarian dan iklan di situs yang membagikan video politik deepfake, seperti Presiden Biden dan Trump menikmati es krim bersama. Mengklik gambar membawa target ke situs web palsu untuk aplikasi EditProAI, dengan editproai.pro diciptakan untuk mendorong malware Windows dan editproai.org untuk mendorong malware macOS. Situs-situs tersebut terlihat profesional dan bahkan mengandung banner cookies yang umum, membuatnya terlihat dan terasa sah. Namun, mengklik tautan “Get Now” akan mengunduh file yang berpura-pura sebagai aplikasi EditProAI. Untuk pengguna Windows, file tersebut dinamai “Edit-ProAI-Setup-newest_release. exe” [VirusTotal] dan untuk macOS, dinamai “EditProAi_v. 4. 36. dmg” [VirusTotal]. Malware Windows ditandatangani oleh apa yang tampaknya adalah sertifikat penandatanganan kode yang dicuri dari Softwareok.com, pengembang utilitas freeware. G0njxa mengatakan bahwa malware menggunakan panel di “proai.club/panelgood/” untuk mengirim data yang dicuri, yang kemudian dapat diambil kembali oleh pelaku ancaman kemudian hari.
Sebuah laporan AnyRun menunjukkan eksekusi varian Windows, dengan layanan sandbox mendeteksi malware sebagai Lumma Stealer. Jika Anda telah mengunduh program ini sebelumnya, Anda harus menganggap semua kata sandi yang disimpan, dompet kripto, dan autentikasi terancam dan segera mengatur ulang dengan kata sandi unik di setiap situs yang Anda kunjungi. Anda juga harus mengaktifkan MFA di semua situs sensitif, seperti bursa kripto, perbankan online, layanan surel, dan layanan keuangan. Malware pencuri informasi telah mengalami pertumbuhan masif selama beberapa tahun terakhir, dengan pelaku ancaman melakukan operasi global besar-besaran untuk mencuri kredensial dan token autentikasi orang. Kampanye lain yang baru-baru ini mendorong infostealer termasuk penggunaan kerentanan zero-day, fake update GitHub, dan bahkan fake answer di StackOverflow. Kredensial yang dicuri kemudian digunakan untuk meretas jaringan perusahaan, melakukan kampanye pencurian data seperti yang kita lihat dari peretasan akun SnowFlake yang masif, dan menyebabkan kekacauan dengan merusak informasi rute jaringan.
